Entrar Ainda não tem acesso?
1
resposta

A Resolução CD/ANPD nº 15/2024

Referente ao curso LGPD: conhecendo a legislação para proteger dados pessoais, no capítulo Segurança e atividade Para saber mais: regulamento da ANPD para comunicação de incidentes

por Marcia Regina Gomes de Vasconcelos Oliveira
| 108.7k xp | 48 posts

A Resolução CD/ANPD nº 15/2024 representa um avanço importante na regulamentação da comunicação de incidentes de segurança envolvendo dados pessoais. O regulamento deixa mais claros os deveres dos controladores e reforça a necessidade de transparência e responsabilidade no tratamento de dados, especialmente em situações que possam causar riscos ou danos significativos aos titulares.

Um ponto muito relevante é a definição de incidente de segurança, que não envolve apenas vazamentos de dados, mas também qualquer situação que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade das informações pessoais. Isso amplia a preocupação das organizações com a proteção dos dados em todas as etapas do tratamento.

Outro aspecto importante é o prazo de três dias úteis para comunicação à ANPD e aos titulares afetados. Essa rapidez é fundamental para reduzir impactos e permitir que medidas preventivas sejam tomadas, como troca de senhas, bloqueio de acessos e monitoramento de possíveis fraudes.

A exigência de manter registros dos incidentes por cinco anos também demonstra a importância da governança e da documentação das ações adotadas pelas empresas. Além disso, a possibilidade de auditorias e solicitações adicionais pela ANPD fortalece o processo de fiscalização e incentiva a adoção de boas práticas de segurança da informação.

Assim, a resolução contribui para aumentar a proteção dos dados pessoais no Brasil e reforça que a segurança da informação deve ser tratada como prioridade estratégica pelas organizações.

1 resposta
por Evandro Santana Amadio
| 1221.6k xp | 2770 posts
Process Improvement Analyst

Olá, Marcia. Como vai?

Seu resumo sobre a Resolução CD/ANPD nº 15/2024 está impecável e traz uma atualização jurídica de extrema importância para quem estuda e trabalha com a LGPD.

Muitas pessoas que estão começando na área de privacidade ainda têm em mente o texto inicial da lei, que falava em comunicação em "prazo razoável". A definição trazida por esse regulamento põe fim a essa subjetividade e profissionaliza a resposta a incidentes no Brasil.

Para enriquecer ainda mais o seu tópico, vale a pena detalharmos dois pontos críticos que essa resolução consolidou e que mudam o jogo para as empresas:

  • O critério de "Risco ou Dano Significativo":

A resolução deixou claro que não é qualquer incidente que precisa ser obrigatoriamente notificado à ANPD e aos titulares. A comunicação só é exigida quando houver a combinação de um gatilho de segurança (vazamento, destruição, alteração) com a possibilidade de gerar um risco ou dano significativo.

A ANPD considera que há risco significativo, por exemplo, quando o incidente envolve:

  • Dados sensíveis (origem racial, convicção religiosa, dados de saúde, etc.).
  • Dados de crianças, adolescentes ou idosos.
  • Dados financeiros ou senhas de acesso.
  • Roubo de identidade ou fraudes em larga escala.
  • O que deve constar na comunicação em 3 dias úteis:

O prazo de 3 dias úteis é curto e exige que as empresas tenham um plano de resposta a incidentes muito bem treinado. A resolução define que a notificação deve ser o mais completa possível, contendo:

  1. A descrição da natureza e da categoria dos dados afetados.
  2. O número de titulares impactados.
  3. As medidas de segurança que já foram adotadas para mitigar o problema.
  4. Os riscos potenciais para os usuários e o contato do Encarregado de Dados (DPO).

Caso a empresa não tenha todas as informações em 3 dias, a resolução permite o envio de uma notificação preliminar, que deve ser complementada posteriormente.

A regra de guardar o registro interno de incidentes por 5 anos (mesmo daqueles que não foram notificados à ANPD) reforça o princípio da responsabilização e prestação de contas (accountability). A empresa precisa provar documentadamente o motivo pelo qual avaliou que um incidente não gerava risco significativo.

Excelente contribuição trazida por você para o fórum! Manter-se atualizado com as resoluções da ANPD é o que diferencia um profissional de conformidade no mercado atual.

Espero que possa ter lhe ajudado!

Tópicos relacionados

Mostrar mais tópicos Mostrar menos tópicos

Conteúdos Alura com o tema

Trilhas por carreira

Carreiras de IA

Carreiras de Dados

Carreiras de Cyber

Carreiras de DevOps & Cloud

Carreiras de UX & UI

Carreiras de Mobile & Front-End

Carreiras de Back-End

Carreiras de Negócios

Cursos universitários FIAP

Graduação | Pós-graduação | MBA