Regulamento de Comunicação de Incidente de Segurança (RCIS): entenda a nova lei

A segurança dos dados pessoais é um direito fundamental e uma questão cada vez mais crucial no mundo digital. Em abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) deu um passo significativo para fortalecer a proteção dos dados no Brasil com a aprovação do Regulamento de Comunicação de Incidentes de Segurança (RCIS).

Neste artigo, apresentaremos um guia completo e atualizado que irá ajudá-lo a compreender os principais pontos do RCIS. Começaremos definindo o que constitui um incidente de segurança da informação. Em seguida, exploraremos os objetivos do RCIS e como ele busca proteger os direitos dos titulares de dados.

Por fim, examinaremos o processo de comunicação de incidentes de segurança, tanto à ANPD quanto aos titulares afetados. Continue a leitura para compreender como essa nova resolução normativa impacta as práticas de segurança da informação das organizações e assegure que sua empresa esteja em conformidade.

O que é um incidente de segurança?

Em dia 26 de abril a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS).

Antes de examinarmos os principais objetivos do Regulamento de Comunicação de Incidente de Segurança (RCIS), é essencial compreender sua definição de incidente de segurança. 

O RCIS estabelece que incidente de segurança é qualquer evento adverso confirmado que resulte na violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais. 

Isso inclui, mas não se limita a:

• Vazamentos de dados: acessos não autorizados a bancos de dados, sistemas ou dispositivos, resultando na exposição indevida de dados pessoais;
• Ataques cibernéticos:  tentativas de agentes maliciosos de invadir sistemas, roubar dados ou causar danos à infraestrutura de TI;
• Perda acidental de dados: extravio ou descarte indevido de dispositivos contendo dados pessoais;
• Falhas de segurança: vulnerabilidades em sistemas ou softwares que crackers podem explorar para causar danos.

Quais são os objetivos do Regulamento de Comunicação de Incidente de Segurança (RCIS)?

O RCIS visa normatizar o processo de comunicação de incidentes que possam representar risco ou dano relevante para os titulares de dados, conforme estipulado no artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

Os objetivos do Regulamento incluem:

• Proteger os direitos dos titulares;
• Assegurar a adoção de medidas para mitigar ou reverter prejuízos;
• Garantir a responsabilização e prestação de contas pelos agentes de tratamento;
• Promover boas práticas, governança e medidas de segurança;
• Estimular a cultura de proteção de dados pessoais;
• Assegurar transparência e confiança entre agentes de tratamento e titulares;
• Fornecer subsídios para as atividades da ANPD.

Considera-se um incidente de segurança relevante quando ele pode afetar significativamente os interesses e direitos fundamentais dos titulares. Além disso, ele deve envolver ao menos um dos seguintes critérios:

• Dados pessoais sensíveis;
• Dados de crianças, adolescentes ou idosos;
• Dados financeiros;
• Dados de autenticação em sistemas;
• Dados protegidos por sigilo legal, judicial ou profissional;
• Dados em larga escala.

Processo de comunicação de incidentes de segurança conforme o RCIS

O RCIS estabelece que a comunicação de incidentes de segurança deve ser realizada pelo controlador no prazo de três dias úteis a partir do momento em que este toma conhecimento de que o incidente afetou dados pessoais. 

Esse prazo se aplica tanto à comunicação à ANPD quanto aos titulares de dados. A única exceção são os controladores de pequeno porte, para os quais o prazo de comunicação à ANPD é dobrado, conforme a Resolução CD/ANPD nº 2/2022.

Além disso, o RCIS permite que agentes de qualquer porte complementem, de maneira fundamentada, as informações fornecidas à ANPD no prazo de vinte dias úteis, a contar da data da comunicação inicial.

O controlador de dados deve fazer a comunicação de incidente de segurança por meio de um formulário eletrônico disponibilizado pela ANPD. O processo pode ser iniciado de ofício ou com o recebimento de uma comunicação formalizada. 

A ANPD pode realizar auditorias ou inspeções para coletar informações adicionais e fundamentar suas decisões. 

O órgão também pode determinar ao controlador a adoção de medidas preventivas para evitar danos graves aos titulares. 

Caso necessário, a ANPD pode impor multas diárias para garantir o cumprimento dessas determinações.

Vamos explorar agora como os controladores devem realizar a comunicação de incidentes à ANPD e aos titulares.

Comunicando o incidente à ANPD 

O controlador deve comunicar incidentes de segurança relevantes à ANPD por meio do encarregado de dados, apresentando um documento que comprove o vínculo contratual, empregatício ou funcional.

Alternativamente, o controlador pode optar por designar um representante constituído, desde que este esteja acompanhado de um instrumento que ateste seus poderes de representação perante a ANPD.

O RCIS estabelece que a comunicação de incidente à ANPD deve conter as seguintes informações:

• Descrição da natureza e categoria dos dados afetados;
• Número de titulares afetados, incluindo, quando necessário, detalhes sobre crianças, adolescentes ou idosos;
• Medidas técnicas e de segurança adotadas antes e após o incidente;
• Riscos relacionados ao incidente e possíveis impactos aos titulares;
• Motivos para qualquer atraso na comunicação;
• Medidas adotadas para mitigar os efeitos do incidente;
• Data da ocorrência e do conhecimento do incidente;
• Dados do encarregado ou representante do controlador;
• Identificação do controlador e, se aplicável, declaração de agente de pequeno porte;
• Identificação do operador, quando aplicável;
• Descrição detalhada do incidente e sua causa principal.

Comunicando o incidente aos titulares de dados

A comunicação de incidentes aos titulares de dados deve utilizar uma linguagem simples e de fácil entendimento. Além disso, deve ser feita de forma direta e individualizada e sempre que possível identificar os titulares.

O RCIS considera como comunicação direta e individualizada aquela realizada através dos meios usuais de contato do controlador com o titular. Entre eles estão telefone, e-mail, mensagem eletrônica ou carta.

Se a comunicação direta e individualizada não for viável ou se não for possível identificar todos os titulares afetados, o controlador deve comunicar o incidente utilizando meios de divulgação amplamente acessíveis, como seu site, aplicativos, mídias sociais e canais de atendimento ao titular. A comunicação deve ser clara e visível por um período mínimo de três meses.

O controlador deve anexar ao processo de comunicação do incidente uma declaração confirmando que a comunicação aos titulares foi realizada. É necessário especificar os meios de comunicação ou divulgação utilizados, dentro de três dias úteis após o término do prazo estabelecido.

Como boa prática, é recomendável incluir na comunicação ao titular orientações para reverter ou mitigar os efeitos do incidente.

Conforme o RCIS, a comunicação de incidente ao titulares deve conter as seguintes informações:

• Descrição da natureza e da categoria dos dados pessoais afetados;
• Medidas técnicas e de segurança adotadas para proteger os dados;
• Riscos associados ao incidente, com a identificação dos possíveis impactos sobre os titulares dos dados;
• Motivos do atraso, caso o controlador não realize a comunicação dentro do prazo estabelecido pelo RCIS;
• Ações que foram ou serão tomadas para reverter ou mitigar os efeitos do incidente, quando aplicável;
• Data em que o incidente de segurança tornou-se conhecido;
• Contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

Conclusão

Como vimos, o RCIS é mais um passo fundamental para a proteção de dados pessoais no Brasil. Ao estabelecer diretrizes claras para a comunicação de incidentes de segurança, ele visa garantir uma resposta rápida e eficaz a possíveis violações de segurança.

Nesse sentido, alguns pontos merecem destaque:

1. Flexibilidade para avaliar incidentes: apesar do RCIS fornecer diretrizes sobre o que configura um incidente de risco relevante, a ANPD poderá apresentar novas orientações para auxiliar na avaliação e comunicação desses eventos. Isso garante que o regulamento se mantenha abrangente e adaptável às constantes mudanças no cenário digital;
2. Comunicação célere e eficaz: o RCIS define prazos curtos para a comunicação de incidentes, garantindo uma resposta rápida e minimizando os impactos negativos sobre os direitos dos titulares;
3. Prazo diferenciado para pequenos agentes: reconhecendo da diversidade de organizações que tratam dados pessoais, o RCIS concede o dobro do prazo (seis dias) para os agentes de pequeno porte comunicarem incidentes de segurança;
4. Responsabilidade ampla e inegociável: a extensão do prazo concedida aos agentes de pequeno porte não os isenta do cumprimento dos demais dispositivos do RCIS. Todos os agentes de tratamento, independentemente do seu porte, possuem a responsabilidade de garantir a segurança dos dados pessoais sob sua custódia.;
5. Sanções em caso de não conformidade: a ANPD se reserva o direito de impor multas diárias para garantir o cumprimento do RCIS, conforme as regras estabelecidas na Resolução CD/ANPD nº 4/2023.

Para as empresas, o RCIS significa a necessidade de se adaptar a uma nova realidade. Mas lembre-se: você não precisa enfrentar esse desafio sozinho!

A Diazero Security está aqui para ajudá-lo a garantir a conformidade com o RCIS e proteger seus dados de forma eficaz e proativa.

Entre em contato conosco e descubra como podemos otimizar a segurança da informação da sua empresa.