A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje (26) a Resolução nº15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS). O normativo tem os objetivos de mitigar ou reverter prejuízos gerados por incidentes; de assegurar a responsabilização e a prestação de contas; de promover a adoção de boas práticas de governança, prevenção e seguranç; e de fortalecer a cultura de proteção de dados pessoais no País.

O RCIS prevê que o controlador deve comunicar a ANPD e o titular de dados sobre a ocorrência de incidentes de segurança que possam ocasionar risco ou dano relevante. A obrigatoriedade está diretamente relacionada ao possível prejuízo a interesses e direitos fundamentais dos titulares e ao envolvimento de dados pessoais sensíveis, de menores de idade, financeiros, de autenticação em sistema, protegidos por sigilo ou tratados em larga escala.

O regulamento também traz os prazos para que o controlador efetive a comunicação e quais informações devem ser encaminhadas. O normativo traz, também, a obrigatoriedade de manter o registro dos incidentes de segurança com dados pessoais por ao menos cinco anos.

A aprovação e publicação do Regulamento de Comunicação de Incidente de Segurança fortalece a proteção dos direitos dos titulares, por ser um catalisador na efetivação dos princípios gerais de proteção estabelecidos na LGPD, em especial o princípio da transparência, haja vista a necessidade de prestação de informações claras aos titulares cujos dados pessoais foram objeto de incidente.