Artigos - Postado em: 03/07/2024

O Regulamento de Comunicação de Incidente de Segurança da ANPD e suas implicações para a Indústria Farmacêutica

Por João Pedro Mamede Miranda

No dia 24 de abril de 2024, a Autoridade Nacional de Proteção de Dados (“ANPD”), por meio da Resolução CD/ANPD 15/2024, ratificou o novo regulamento de comunicação de incidentes de segurança daquela Autoridade. A partir dessa data, uma série de novos requisitos devem ser observados para a conformidade com a legislação de proteção de dados pessoais em caso de incidentes de segurança, inclusive por parte das indústrias farmacêuticas.

Segundo a Autoridade, um incidente de segurança é qualquer evento adverso confirmado que viole uma ou mais das seguintes propriedades: a confidencialidade, a integridade, a disponibilidade e a autenticidade de um dado pessoal.

A confidencialidade envolve a capacidade de uma organização em assegurar-se de que os dados pessoais sob a sua guarda não sejam revelados a terceiros de forma indevida. O Regulamento de comunicação de incidente de segurança da ANPD define a confidencialidade como a “propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizadas”.  Assim, ocorrências como vazamentos de dados ou roubo de dispositivos contendo informações sensíveis são exemplos claros de violação dessa propriedade.

Já a integridade refere-se à proteção dos dados contra modificações ou destruições não autorizadas. Nos termos do citado regulamento, é a “propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental”. A exclusão acidental de bases de dados ou alterações indevidas por terceiros ilustram a violação dessa propriedade.

Embora menos conhecida, a disponibilidade é a “propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados”. Nesse sentidu, uma falha que impeça a disponibilidade dos dados para usuários autorizados também pode configurar um incidente de segurança (ex: sistema off line).

Por fim, a autenticidade visa garantir a origem confiável das informações, ou seja, a “propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade”. Qualquer evento adverso que dificulte a identificação da fonte de determinada modificação nos dados pessoais pode, a depender das circunstâncias, ser classificado como um incidente de segurança.

Contudo, não é todo incidente de segurança que ocasiona, automaticamente, uma obrigação de comunicação à ANPD e aos titulares dos dados pessoais afetados. Com efeito, somente há obrigação de comunicação quando o incidente puder acarretar risco ou dano relevante aos titulares.

Visando elucidar um pouco o incerto conceito de risco ou dano relevante, a ANPD entende que ele ocorre quando o incidente puder afetar “significativamente interesses e direitos fundamentais do titular e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:

  • Dados pessoais sensíveis (como dados referentes à saúde, presentes em diversos tratamentos desempenhados pelas indústrias farmacêuticas);
  • Dados de crianças, adolescentes ou idosos;
  • Dados financeiros (ou seja, relacionados às transações financeiros do titular, inclusive para contratação de serviços e aquisição de produtos);
  • Dados de autenticação em sistemas (qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, como contas de login, tokens e senhas);
  • Dados protegidos por sigilo profissional (dado pessoal cujo sigilo decorra do exercício de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem); ou
  • Dados em larga escala.

Nos termos do entendimento da ANPD acima explicitado, pode-se concluir que um incidente de segurança envolvendo dados pessoais que possa afetar significativamente interesses e direitos fundamentais do titular, mas que não preencha nenhum dos outros critérios acima, não necessita ser comunicado à ANPD ou aos titulares (ex: pequena quantidade de dados pessoais envolvidas).

A Autoridade dá também um critério objetivo de julgamento daquilo que ela considera como passível de afetar os interesses e direitos fundamentais do titular. Tratam-se de situações em que  a “atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, além como ocasionar danos materiais ou morais ao titular, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras e roubo de identidade”.

Especificamente no que diz respeito às indústrias farmacêuticas, possivelmente um eventual incidente de segurança contemplará um ou mais dos critérios listados acima. Com efeito, trata-se de um setor da economia que trata uma quantidade relevante de dados pessoais sensíveis – como dados referentes à saúde ou genéticos – mas também  informações protegidas por sigilo profissional e uma elevada volumetria de dados pessoais.

Nesse sentido, um incidente de segurança enquadrado nessas hipóteses deve ser comunicado tanto à ANPD quanto aos titulares afetados em 3 (três) dias úteis contados do “conhecimento pelo controlador de que o incidente afetou dados pessoais”.

O Regulamento cria também uma nova obrigação para os controladores de dados que é a manutenção de um registro de incidentes de segurança. O que era uma boa prática torna-se, agora, uma obrigação regulatória.

Assim, todos os controladores devem manter um registro interno de todos os incidentes por um prazo mínimo de 5 (cinco) anos – e isso independente de enquadrarem-se ou não nos critérios de comunicação à ANPD e aos titulares. Considerando a amplitude das noções de confidencialidade, integridade, disponibilidade e autenticidade já mencionadas, é muito pouco provável que uma indústria farmacêutica – ou qualquer outro controlador – não sofra incidentes passíveis de registro.

O Registro de incidentes deve conter, no mínimo:

  • A data de conhecimento do incidente;
  • A descrição geral das circunstâncias em que o incidente ocorreu;
  • A natureza e a categoria de dados afetados;
  • O número de titulares afetados;
  • A avaliação do risco e os possíveis danos aos titulares;
  • As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
  • A forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
  • Os motivos da ausência de comunicação, quando for o caso.

Contata-se, assim, que as obrigações a serem consideradas para garantir a regularidade com a LGPD foram reforçadas com esse a edição do Regulamento de Comunicação de Incidente de Segurança da ANPD.

Os departamentos de privacidade das Indústrias Farmacêuticas devem contar com as competências necessárias para avaliar corretamente os impactos dos incidentes de segurança, definir pela necessidade ou não de comunicação à Autoridade e aos Titulares, e preencher corretamente os Registros dos Incidentes de forma a prevenir responsabilidades e agir com diligência.

A proteção dos dados pessoais tornou-se, definitivamente, um elemento importante demais para ser ignorado pelos programas de gestão de riscos das empresas.

O CHENUT alcançou por oito vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa

Voltar