Já está valendo o regulamento sobre comunicação de incidentes de segurança da Autoridade Nacional de Proteção de Dados. A norma está publicada no Diário Oficial da União desta sexta, 26/4, e prevê prazo de três dias úteis para os controladores – prazo contado em dobro para os agentes de pequeno porte.
Como regra geral, o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Esse critério envolve os casos em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
O regulamento prevê que o controlador deverá manter o registro do incidente de segurança, inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco anos, contado a partir da data do registro – com exceção do Poder Público, que precisa cumprir as regras existentes sobre guarda permanente de documentos.
Para além da publicização de infrações, a ANPD poderá determinar a ampla divulgação do incidente em meios de comunicação, como mídia impressa, radiodifusão ou pela internet.
A ANPD poderá instaurar processo administrativo sancionador caso o controlador não adote as medidas para reverter ou mitigar os efeitos do incidente de segurança no prazo e nas condições determinadas pela Autoridade.