Notícias

ANPD eleva o nível de rigor com que passará a tratar incidentes de segurança

Fonte: Jota.Info

26/01/2023

ANPD reformula orientações em seu site e espera maior colaboração e

maturidade dos agentes de tratamento

Embora siga pendente a resolução destinada a disciplinar a comunicação de
incidentes de segurança envolvendo dados pessoais, a ANPD ditou o tom que
passará a adotar a partir deste ano: maior colaboração e maturidade dos
agentes de tratamento. É o que espera a autoridade brasileira que, em
dezembro, reformulou as orientações dispostas em seu site sobre o tema,
além de reestruturar o formulário de comunicação adotado pelos agentes de
tratamento.

A mudança simboliza o amadurecimento no tratamento regulatório do tema e
inaugura uma nova fase de atuação da ANPD, notadamente mais incisiva, que
exige do agente de tratamento – mais especialmente, do controlador – a
disponibilidade de um conjunto de informações bastante robusto, amplo e
complexo.

A começar pela exigência de que o controlador declare ser (ou não) agente de
tratamento de pequeno e médio porte, conforme os requisitos estabelecidos
na Resolução CD/ANPD n.o 2/2022, am de permitir o enquadramento em um

regime legal diferenciado que prevê prazo em dobro e procedimento

simplicado para comunicação de incidentes de segurança.

Apesar de vantajosa, a declaração requer atenção do controlador noticanteante

a possibilidade de a ANPD requisitar a comprovação de sua qualidade de
agente de pequeno porte, cujo prazo de atendimento é de até quinze dias. Para
tanto, ao se manifestar no formulário de comunicação, é ideal que o
controlador esteja amparado em um posicionamento interno anterior, já
adotado em seu programa de conformidade e governança de dados pessoais e
privacidade, no qual sua condição, como agente de tratamento, tenha sido
adotada de forma reetida, especialmente após opinião do Encarregado ou

Comitê de privacidade, com o apoio do departamento jurídico, ou mediante o
auxílio de consultoria externa, o que deve estar, inclusive, documentado.
Essa preocupação torna-se ainda mais relevante diante do risco de
“desenquadramento”, uma vez que a ANPD pode, ao analisar a noticação,

discordar da classicação da organização noti

cante como agente detratamento de pequeno porte e, assim, afastar a

aplicação da Resolução n.o 2, tornando automaticamente exigíveis as obrigações

exibilizadas, tal como a indicação do Encarregado pelo tratamento de dados pessoais,

o que pode resultar na scalização e posterior aplicação de penalidade pela ANPD.

Nesse contexto, também é compreensível a exigência, no formulário, de que o
controlador informe o número total de titulares cujos dados pessoais sejam
tratados pela empresa ou organização, haja vista que o tratamento em larga
escala, pendente de denição, é um dos critérios adotados para qualicar – ou

não – o agente de tratamento de pequeno porte. Longe de se restringir a essa

nalidade, vale recordar que o critério também poderá ser utilizado para aferir a gravidade

de uma infração à LGPD, conforme Você leu 4 de 10 matérias a que tem direito no mês.

a proposta de Resolução para dosimetria e aplicação de sanções. Uma vez que
a normativa está prevista para início de 2023, é remota a possibilidade de
grandes mudanças na minuta até então apresentada. Com isso, espera-se que
muito do proposto reste o cializado na nova norma expedida pela ANPD.

Ponto interessante é levantado pela ANPD ao tratar das medidas técnicas e
administrativas empregadas para a proteção dos dados: questiona a
autoridade brasileira sobre a adoção de mecanismos para di

cultar ou impossibilitar a identicação dos titulares. A particularidade reside no fato de

que, pelo sistema atualmente vigente, a identicabilidade do titular é critério

empregado tão somente para aferir a caracterização da informação enquanto
dado pessoal.

Assim, a ANPD parece sinalizar uma importante mudança de conjuntura, o que
é reforçado quando observado que a autoridade expressamente arrola a
identicabilidade dos titulares entre os critérios a serem considerados para
avaliação da existência de risco ou dano relevante aos titulares – e, portanto,
da existência do dever legal de comunicação. Não se trataria de movimento
inédito – haja vista a existência de outras metodologias que adotam critério
semelhante, como aquela proposta pela Agência Europeia para a Segurança
das Redes e da Informação (ENISA).
Embora constitua um elemento importante na aferição da gravidade do
incidente, é necessário que a autoridade brasileira seja parcimoniosa ao
estabelecer a metodologia a ser utilizada pelos agentes de tratamento e, mais
ainda, o grau de contribuição da identicabilidade do titular na denição do

graunal de risco. Dito de outro modo, é necessário que a ANPD efetivamente assegure que o
risconal seja obtido a partir de uma análise que, assentada em diversos
elementos iguais ou ainda mais relevantes, como a sensibilidade do conjunto
de dados afetados, observe as particularidades de cada incidente. Nesse
contexto, a identicabilidade do titular não deve constituir critério capaz de, por

si só, qualicar o grau de risco por inexistir uma relação consequencial entre a

maior ou menor facilidade de identicar o titular e o dano potencial ou real por

ele experimentado – basta pensar, por exemplo, que o Nome, o CPF e aliação

dicilmente expõem o titular à fraude de identidade por si só.

Contudo, ao tratar da comunicação dos titulares e dos riscos e consequências
a eles impostos é que a ANPD inovou em maior medida: agora, passa a
autoridade a exigir que o agente de tratamento indique não apenas se já

promoveu a comunicação aos titulares interessados, mas quando pretende

fazê-lo. Indiretamente, a ANPD requer dos agentes de tratamento maior
organização e, nesse contexto, a existência de uma política e de um plano de
respostas a incidentes será um diferencial.
Indo além, sempre em tom de recomendação, a ANPD indica a forma que os
agentes de tratamento deverão preferencialmente adotar para comunicação
dos titulares, ou seja, fazendo-o de maneira individualizada. Isso porque, caso
opte por outro método, como a divulgação em mídias sociais, deverá o agente
de tratamento expor as razões que tornaram impossível ou inoportuno
contatar diretamente os titulares interessados.

A ANPD exige, ainda, que os agentes de tratamento sejam capazes de
identicar os impactos potenciais ou reais do incidente para cada um dos
grupos de titulares afetados. Mais uma vez, sairá na frente quem dispuser de
uma metodologia bem estruturada e um time capacitado, além do apoio de
uma consultoria externa experiente e qualicada para responder a incidentes

dessa natureza. Não bastasse, será necessário indicar quão facilmente
recuperável é o dano provocado (se existente).

Sobre isso, vale recordar: diversas consequências enumeradas pela ANPD
(como danos morais, discriminação social e limitação de acesso a um serviço)
constituirão critérios para indicar maior ou menor gravidade da infração à
LGPD. Aliás, algumas das hipóteses mencionadas poderão sugerir o
reconhecimento de infração como sendo de natureza grave. Por seu turno, a
recuperabilidade inuencia diretamente no grau de dano que, por sua vez, é

critério denidor do valor da multa eventualmente aplicada pela ANPD.

Fato é que, com as reformulações, a ANPD eleva o tom e a maturidade com
que passa a tratar dos incidentes de segurança, o que traz benefícios para todo
o quadro regulatório brasileiro: aos titulares, promove a conança e aumenta a

proteção dos seus interesses e direitos; para os agentes de tratamento,
benecia aqueles que, de forma diligente, têm promovido o cumprimento da
LGPD; aos demais, impulsiona a busca pela melhoria da qualidade de seus
programas internos de privacidade.

Assim, todos saem ganhando.

Leia na íntegra