Foi emitida a Resolução CD/ANPD nº 15/2024, que ratifica e estabelece as diretrizes para a Comunicação de Incidentes de Segurança. O propósito dessa regulamentação é definir os protocolos a serem seguidos no caso de ocorrência de incidentes que possam comprometer a segurança ou causar danos relevantes aos titulares de dados.
De acordo com o regulamento, qualquer incidente de segurança, violando a confidencialidade, integridade, disponibilidade ou autenticidade dos dados, deve ser comunicado à ANPD e aos titulares pelo controlador em até três dias úteis após o conhecimento do ocorrido, salvo legislação específica.
Na notificação à ANPD, devem ser incluídas informações como a natureza e categoria dos dados comprometidos, o número de titulares afetados, as medidas adotadas para proteger os dados, entre outras, e o controlador é responsável por manter um registro do incidente por pelo menos cinco anos.
Após avaliação, a Autoridade pode determinar medidas, incluindo ampla divulgação do incidente via diversos canais, como imprensa e internet, e ações para reverter ou mitigar impactos. A falta de comunicação de incidente pode resultar em processo administrativo sancionatório.