COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA NA LEI GERAL DE PROTEÇÃO DE DADOS
A DEFINIÇÃO DO PRAZO MEDIANTE ANÁLISE DE IMPACTO REGULATÓRIO COMO INSTRUMENTO INDISPENSÁVEL AO ENFORCEMENT DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
DOI:
https://doi.org/10.25245/rdspp.v12i1.1493Palavras-chave:
Autoridade Nacional de Proteção de Dados, regulação, Lei Geral de Proteção de Dados, incidentes de segurança, comunicaçãoResumo
Quando da ocorrência de incidentes de segurança envolvendo dados tutelados pela Lei Geral de Proteção de Dados, o normativo exige que haja uma comunicação em tempo hábil para com a Autoridade Nacional de Proteção de Dados e, caso não haja, poder-se-ia aplicar sanções, nos termos do art. 52 da LGPD. Ocorre que não há um prazo previamente estabelecido mediante instrumento normativo legal ou regulamentar. Dessa forma, o problema de pesquisa deste artigo pode ser expresso pelo seguinte questionamento: são válidas as sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados pela não comunicação do controlador da ocorrência dos incidentes de segurança no prazo sugerido pela autarquia especial? Para responder a esse problema, dois objetivos são estabelecidos: 1) a verificação da competência regulamentar da ANPD sob a ótica das Leis das Agências, da Lei de Liberdade Econômica (LLE), bem como do Decreto n. 10.411/2020; e 2) a identificação da natureza do problema regulatório e a demonstração da necessária e prévia elaboração de Análise de Impacto Regulatório (AIR) para aplicar sanções na situação fática posta em análise. Conclui-se que pela invalidade as sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados pela não comunicação do encarregado da ocorrência dos incidentes de segurança sem prévia estipulação de prazo adequado mediante AIR, sob pena de violação do princípio constitucional da legalidade, do art. 5° da LLE e do art. 6° da Lei das Agências. A pesquisa adota o método integrado e a técnica de pesquisa bibliográfica
Referências
ARAGÃO, Alexandre. 5 grandes vazamentos de dados no Brasil — e suas consequências. JOTA. 2022. Disponível em: https://www.jota.info/tributos-e-empresas/mercado/vazamentos-de-dados-no-brasil-28012022. Acesso em: 08 dez. 2023.
BRASIL. ANPD fiscaliza incidente do Ministério da Saúde e Conecte SUS. Autoridade Nacional de Proteção de Dados. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-fiscaliza-incidente-ao-site-do-conectsus. Acesso em: 08 dez. 2023.
BRASIL. ANPD prorroga prazo da consulta pública sobre o Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais. Autoridade Nacional de Proteção de Dados. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-prorroga-prazo-da-consulta-publica-sobre-o-regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais. Acesso em: 08 dez. 2023.
BRASIL. Comunicação de incidente de segurança. Autoridade Nacional de Proteção de Dados. 2022 (Atualizado em 31/05/2023). Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis. Acesso em: 08 dez. 2023.
BRASIL. Formulário de comunicação de incidente de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD). ANPD. 2021.
BRASIL. Lei da Liberdade Econômica. Lei n. 13.874 de 20 de setembro de 2019. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 20 set. 2019.
BRASIL. Lei das Agências. Lei n. 13.848 de 25 de junho de 2019. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 25 jun. 2019.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei n. 13.709 de 14 de agosto de 2018. Diário Oficial [da] República Federativa do Brasil, Poder Executivo, Brasília, DF, 14 ago. 2018.
DINIZ, M. Localiza confirma incidente de segurança cibernética; grupo hacker assume autoria. InfoMoney. 2022. Disponível em: https://www.infomoney.com.br/mercados/localiza-confirma-incidente-de-seguranca-cibernetica-grupo-hacker-assume-autoria/. Acesso em: 08 dez. 2023.
G1. Ataque hacker tira do ar site do Ministério da Saúde e o ConecteSUS. Jornal Nacional. 2021. Disponível em: https://g1.globo.com/jornal-nacional/noticia/2021/12/10/ataque-hacker-ao-site-do-ministerio-da-saude-tira-do-ar-o-conectesus.ghtml. Acesso em: 08 dez. 2023.
LIMA, K. Além dos efeitos do ataque hacker, usuários do ConecteSUS sofrem com erros nos cadastros . G1. 2021. Disponível em: https://g1.globo.com/saude/noticia/2021/12/11/alem-dos-efeitos-do-ataque-hacker-usuarios-do-conectesus-sofrem-com-erros-nos-cadastros.ghtml. Acesso em: 08 dez. 2023.
MULHOLLAND, C. GOMES, R. D. de P. Encarregado empregado: problemas de responsabilidade civil na LGPD e no Código Civil. Migalhas. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/347010/encarregado-empregado-problemas-de-responsabilidade-civil-na-lgpd. Acesso em: 08 dez. 2023.
