Medida exige resposta rápida e gera impacto direto nas Autoridades de Registro da ICP-Brasil, diz presidente-executivo da AARB
A Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que empresas e órgãos públicos comuniquem à entidade incidentes de segurança envolvendo dados pessoais em até três dias úteis, contados a partir do conhecimento do incidente. A exigência está prevista na Resolução CD/ANPD nº 15/2024, em vigor desde abril de 2024, mas vem sendo aplicada com rigor no segundo semestre de 2025.
A medida tem como objetivo reforçar a transparência e proteger os direitos dos titulares diante da intensificação de ataques cibernéticos e falhas operacionais. A norma se aplica somente quando o incidente representa risco ou dano relevante aos titulares, por exemplo, envolvendo dados sensíveis, financeiros, de autenticação ou de menores de idade, e também pode envolver tratamento em larga escala.
Se uma avaliação preliminar indicar falta de informações completas, é possível realizar uma comunicação inicial, seguida de complementação dentro de 20 dias úteis. Ainda que o incidente não precise ser reportado, o controlador deve manter registro interno pelo prazo mínimo de cinco anos.
Mercado de certificação digital
A mudança tem impacto direto sobre o setor de certificação digital, especialmente nas Autoridades de Registro (ARs) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), que lidam diariamente com dados sensíveis, como documentos oficiais, informações biométricas e assinaturas eletrônicas.
Para o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Jorge Prates, a nova exigência representa tanto um avanço quanto uma responsabilidade adicional. “Para nós, que emitimos e validamos certificados digitais, esse mecanismo garante rastreabilidade e fortalece a cadeia de confiança da ICP-Brasil. Isso ajuda a prevenir fraudes e assegura que qualquer incidente seja tratado com a devida transparência e responsabilidade”, afirma.
Prates destaca ainda que as ARs precisam estar preparadas para responder com agilidade e precisão diante de qualquer indício de vulnerabilidade. “O prazo de três dias úteis exige que as estruturas de governança e segurança da informação estejam atualizadas e integradas. A comunicação tempestiva de falhas não é apenas uma exigência legal, mas um fator estratégico para manter a credibilidade das instituições que operam com dados pessoais. No ecossistema da certificação digital, a confiança é o principal ativo – e a capacidade de agir rapidamente em caso de incidentes se torna cada vez mais central”, diz.
