A Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) encaminhou, à Autoridade Nacional de Proteção de Dados (ANPD), algumas sugestões para a consulta pública aberta pelo órgão acerca dos incidentes de segurança. O objetivo da minuta de regulamento é criar a resolução que normatizará a comunicação de incidentes de segurança com dados pessoais perante o órgão, bem como a apuração pela autoridade em caso de incidente não comunicado.

As sugestões da Entidade envolvem aspectos que busquem garantir um ambiente regulatório adequado e seguro, visando a não burocratizar a atividade empresarial. Dessa forma, dentre outros aspectos, a FecomercioSP sugeriu critérios que permitirão: 

• delimitar, de modo a facilitar a compreensão e a aplicação, o conceito de “risco ou dano relevante ao titular” para fins de avaliação de gravidade de incidentes de segurança envolvendo dados pessoais;
• determinar em quais hipóteses o titular de dados deve ser notificado em caso de incidentes de segurança (se para todos ou se há exceções, mesmo quando o caso for comunicado à ANPD);
• harmonizar essa normativa com os demais regulamentos já publicados pela ANPD, sobretudo quanto aos agentes de tratamento de pequeno porte (como a dispensa da obrigação de manter registros de incidentes de segurança);
• propor que medidas de transparência, governança, prevenção e combate a incidentes sejam de fato vistos como boas práticas;
• tornar claros os termos iniciais para contagem de prazos, os quais também devem ser estendidos;
• propor ajustes conceituais que podem evitar dificuldades no momento de aplicação do regulamento;
• detalhar aspectos processuais, especialmente, sobre possibilidade de análise agregada de processos de comunicação de incidentes de segurança, com atenção ao princípio fundamental do devido processo legal;
• evitar que a ANPD aplique medidas que visem proteger titulares de forma desproporcional ou que possam se confundir com sanções administrativas.

Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco a direitos e liberdades do titular dos dados pessoais.

É importante lembrar que é obrigação do controlador comunicar à ANPD sempre que ocorrer um incidente de segurança na empresa que envolva dados pessoais e que possa acarretar risco ou dano relevante aos titulares.