Durante audiência pública realizada hoje (23) pelo órgão fiscalizador, advogados e representantes jurídicos do país levantaram questionamentos e conselhos a respeito do Regulamento de Comunicação de Incidente de Segurança. Maior parte dos participantes discordou do prazo de notificação para a Autoridade e pede mais fiscalização nos planos de resposta
A Autoridade Nacional de Proteção de Dados (ANPD) organizou hoje (23) uma audiência pública para debater o novo Regulamento de Comunicação de Incidente de Segurança. O objetivo do documento é normatizar o processo de notificação de eventuais ocorrências cibernéticas que representem risco ou dano relevante aos titulares das informações comprometidas.
Durante a audiência, a maioria dos debatedores se debruçou especificamente ao prazo previsto para a comunicação do incidente, considerado demasiadamente curto a depender do tamanho do vazamento e a quantidade de usuários afetados. Segundo os especialistas, separar os prazos de notificação dos titulares e da ANPD ou ampliar o tempo facilitaria as ações de transparência das corporações.
“Hoje, o Brasil possui uma maturidade aquém a de outros países. Ainda estamos em um processo de amadurecimento legislativo, enquanto estamos nessa fase de adequação, as companhias europeias, sob incidência da GDPR, já consideram a proteção de dados uma prática comum. Será necessário considerar os perfis das entidades públicas, as circunstâncias de Pequenas e Médias empresas, cuidados em relação ao fuso horário e mesmo a quantidade de feriados que o país possui. É muito importante revisitar esse prazo estabelecido”, afirmou Cecília Castro, Advogada Líder do escritório Peck Advogados.
Segundo o regulamento, um incidente de vazamento deve ser comunicado caso afete significativamente direitos fundamentais dos titulares e envolva informações sensíveis; relativos a crianças, adolescentes ou idosos; financeiras; essenciais para autenticação de sistema e em larga escala.
O órgão havia definido um prazo de 3 dias úteis para as empresas vítimas de um incidente cibernético comunicarem tanto a ANPD quanto os titulares dos dados, contados a partir do momento em que se tomou conhecimento do evento. Entretanto, a comunicação à Autoridade poderá ser prolongada em 20 dias úteis caso a empresa justifique essa necessidade.
Na visão de Roberta Buso, Advogada Jurídico Consultiva da Febraban, o início de contagem do prazo deve ser o momento em que uma apuração mínima constatar definitivamente o vazamento com risco relevante. Essa decisão permitiria às empresas já darem passos importantes na elucidação do ocorrido.
“Além disso, a comunicação não precisa ser feita ao mesmo tempo para o titular e à ANPD. Fazê-lo em momentos distintos seria mais adequado devido a toda uma especificidade na linguagem, grau de detalhamento das informações, considerações de confidencialidade, entre outros”, complementa a advogada.
Já Marcelo Crespo, professor da faculdade de direito da ESPM, ressalta que vazamentos de informações pessoais frequentemente levam meses até serem detectados e enfrentados. Devido a isso, a autoridade de proteção de dados precisa mudar o enfoque sobre a notificação de um incidente em favor da fiscalização do plano de resposta aplicado pela empresa atingida.
“A comunicação de um vazamento é uma parcela pequena da crise, além de pressupor que a ocorrência foi identificada e registrada de forma ordenada. Já um plano de gestão de crise é muito mais abrangente, pois envolve saber quem está fazendo o quê, como, quando e por quê. A ANPD precisa começar a colocar como boa prática o estabelecimento de planos de resposta à incidentes, realmente resolvendo muitos dos problemas”, conclui Crespo.
