ANPD estabelece medida que exige resposta rápida e gera impacto direto nas Autoridades de Registro da ICP-Brasil

A Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que empresas e órgãos públicos comuniquem à entidade incidentes de segurança envolvendo dados pessoais em até três dias úteis, contados a partir do conhecimento do incidente. A exigência está prevista na Resolução CD/ANPD nº 15/2024, em vigor desde abril de 2024, mas vem sendo aplicada com rigor no segundo semestre de 2025.

A medida da ANPD tem como objetivo reforçar a transparência e proteger os direitos dos titulares diante da intensificação de ataques cibernéticos e falhas operacionais. A norma se aplica somente quando o incidente representa risco ou dano relevante aos titulares, por exemplo, envolvendo dados sensíveis, financeiros, de autenticação ou de menores de idade, e também pode envolver tratamento em larga escala.

Se uma avaliação preliminar indicar falta de informações completas, é possível realizar uma comunicação inicial, seguida de complementação dentro de 20 dias úteis.  Ainda que o incidente não precise ser reportado, o controlador deve manter registro interno pelo prazo mínimo de cinco anos.

Fonte: Crypto ID, com edição do texto pela M&M Assessoria Contábil