Saiba como fiscalizamos

Atuação

A ação da ANPD nessa área consiste no monitoramento, orientação, prevenção e repressão frente aos agentes de tratamento de dados de modo a assegurar a conformidade com a Lei Geral de Proteção de Dados (LGPD). O monitoramento ocorre por meio da coleta de informações e dados para a tomada de decisões e para assegurar o funcionamento adequado do ambiente regulado. A orientação visa promover a conscientização e educação dos agentes de tratamento e titulares de dados. A prevenção envolve a colaboração com o agente regulado para corrigir ou evitar problemas que possam afetar os titulares de dados e outros agentes. A repressão, por sua vez, é uma abordagem coercitiva, focada em interromper práticas prejudiciais, assegurar a conformidade e aplicar sanções por meio de processos administrativos sancionadores, precedidos ou não de procedimentos preparatórios. Informações adicionais sobre cada uma dessas etapas podem ser encontradas no Regulamento da Fiscalização, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, retificado por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023. 

O monitoramento das atividades de tratamento de dados pessoais é realizado para garantir a conformidade com a LGPD. Funciona como um sensor da fiscalização. Ele visa a máxima abrangência para ampliar a captação de informações. Em função de amplitude, sua perspectiva costuma ser superficial.

O objetivo é detectar anomalias, analisá-las rapidamente e selecionar as que requerem um exame mais profundo. É com base nas informações coletadas no  monitoramento que a fiscalização organiza suas ações, visando avaliar a conformidade dos agentes, gerenciar riscos regulatórios, prevenir irregularidades e corrigir práticas inadequadas. O Relatório de Ciclo de Monitoramento e o Mapa de Temas Prioritários são os instrumentos para esse acompanhamento e os requerimentos são a principal fonte de informações desse processo.

Unidade Administrativa Responsável (Divisão de Monitoramento). E-mail: monitoramento@anpd.gov.br.

A ANPD adota medidas para orientar, conscientizar e educar agentes de tratamento, titulares de dados e outros interessados no tratamento de dados pessoais. Essas orientações incluem a criação de guias e modelos de documentos, sugestões para treinamentos, ferramentas de autoavaliação, e recomendações sobre padrões técnicos e programas de governança.

Para acessar esses documentos, clique aqui.

Essa atividade preventiva busca assegurar a conformidade dos agentes de tratamento e evitar riscos ou danos aos titulares de dados. Medidas preventivas, como divulgação de informações, avisos, solicitações de regularização e planos de conformidade, resultam de processos de fiscalização realizados pela Coordenação - Geral de Fiscalização, mas não são consideradas sanções. Contudo, se um agente não atender às medidas preventivas, a ANPD pode adotar medidas adicionais ou partir para ações repressivas, e a não - conformidade pode agravar o caso, com a instauração de processos administrativos sancionadores.

Unidade Administrativa Responsável (Coordenação de Fiscalização). E-mail: fiscalizacao@anpd.gov.br.

• Processo de Fiscalização

  O processo de fiscalização tem por finalidade avaliar determinado tratamento de dados pessoais. Para isso, a depender do objetivo da fiscalização, podem ser analisados vários aspectos do tratamento, por exemplo: i) a finalidade do tratamento; ii) a origem dos dados pessoais tratados; iii) quais dados são tratados; iv) o nível de transparência que o controlador dá a esse tratamento; v) ferramentas para exercícios de direito do titular; vi) medidas de segurança da informação; e vii) compartilhamento dos dados pessoais.

  É a partir da análise dessas informações que a fiscalização avalia a conformidade do tratamento e informa ao controlador sobre a necessidade de medidas para corrigir falhas no tratamento.

  O rito do processo de fiscalização é dinâmico e varia conforme o comportamento da empresa fiscalizada. Em linhas gerais, esse processo compreende sete etapas, indicadas na figura abaixo:

• Etapas do Processo de Fiscalização

  

  Etapa 1 – Abertura do Processo de Fiscalização e levantamentos de informações

  Após formalizar a abertura do Processo de Fiscalização, a ANPD solicita esclarecimentos e documentos ao fiscalizado para compreender a situação.

  Etapa 2 – Manifestação inicial do regulado

  Ao fiscalizado cabe prestar todas as informações solicitadas, além de outras que julgar relevantes para a elucidação dos fatos.

  A recusa em fornecer as informações solicitadas ou a ausência de resposta pode caracterizar infração de obstrução à fiscalização, passível de sancionamento pela ANPD.

  Não é cabível o fiscalizado alegar qualquer segredo ou sigilo para negar informações à ANPD. Por outro lado, todo e qualquer esclarecimento entregue será protegido caso seja sigiloso nos termos de lei. O regulado sempre poderá indicar o sigilo à Autoridade, desde que acompanhado de justificativa e fundamentação legal.

  Etapa 3 – Avaliação Preliminar da ANPD

  A ANPD avaliará os esclarecimentos e documentos fornecidos pelos fiscalizados à luz do que dispõe a LGPD e regulamentação aplicável.

  Após a análise, a Autarquia expedirá nota técnica com determinações e recomendações ao fiscalizado, com vistas a conduzir o tratamento de dados pessoais à conformidade, se for o caso. Alternativamente, se não houver indícios mínimos de materialidade e autoria, a referida nota técnica poderá sugerir o arquivamento do Processo.

  Etapa 4 – Resposta do Fiscalizado

  Trata-se da oportunidade de o fiscalizado prestar esclarecimento acerca das determinações e recomendações expedidas pela ANPD. Em tese, o fiscalizado pode atender ou discordar e solicitar revisão.

  Etapa 5 – Análise de acompanhamento das determinações

  A ANPD avalia o atendimento das determinações e recomendações. É possível considerá-las atendidas, não-atendidas ou aceitar as explicações do fiscalizado e reconsiderar a determinação. Uma vez feita a análise, a ANPD encaminha para conhecimento do fiscalizado, reiterando as determinações consideradas não atendidas.

  Etapa 6 – Segunda resposta do fiscalizado

  Segunda oportunidade de o fiscalizado prestar esclarecimentos acerca das recomendações reiteradas. Em tese, o fiscalizado pode atender ou discordar e solicitar revisão.

  Etapa 7 – Análise conclusiva

  Nesta etapa, a ANPD avalia o atendimento das determinações e recomendações reiteradas. É possível considerá-las atendidas, não-atendidas ou aceitar as explicações do fiscalizado e reconsiderar a determinação. Uma vez feita a análise, a ANPD encaminha para conhecimento do fiscalizado.

  Se tudo for considerado atendido ou acatado, ou se houver reconsideração de determinações e recomendações, o processo é encerrado.

  Restando alguma pendência, são possíveis dois encaminhamentos:

  1- Quando há cooperação do fiscalizado: expedição de medida preventiva, dando prazo para resposta acerca do cumprimento das determinações, sob pena de abertura de processo sancionador.

  2- Quando não há cooperação do fiscalizado: determinação de abertura de processo sancionador e lavratura do auto de infração.

  O papel da cooperação do fiscalizado é primordial: até o momento, todos os processos sancionadores conduzidos pela ANPD, sem exceção, foram instaurados em decorrência de postura não colaborativa do regulado.

• Processos de Fiscalização em Andamento

  Agente de Tratamento	Escopo da Análise	Nº do Processo				CNPJ			Acesso aos Documentos Públicos do Processo por Meio da Pesquisa Pública
  Bytedance Brasil Tecnologia Ltda. (TikTok)	Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes	00261.000297/2021-75				27.415.911/0001-36			Processo nº 00261.004725/2024-81
  Serviço Federal de Processamento de Dados - Serpro	Verificação de conformidade do tratamento de dados pessoais - compartilhamento de dados pessoais entre órgãos públicos	00261.000704/2021-44				33.683.111/0001-07			Processo nº 00261.000704/2021-44. Os documentos deste processo contêm discussão sobre entendimento, ainda está em construção, quanto às responsabilidades dos agentes de tratamento. Por esse motivo, o processo está com acesso temporariamente restrito até a sua conclusão, em razão de seu caráter preparatório (art. 20 do Decreto nº 7.724/2012).
  Unitfour Tecnologia da Informação Ltda.	Verificação de conformidade do tratamento de dados pessoais	00261.008253/2021-54				07.583.629/0001-50			Apartado público em construção. Previsão de disponibilidade em dezembro.
  Zappo Tecnologia da Informação e Publicidade Ltda.-ME (Contact Pró)	Verificação de conformidade do tratamento de dados pessoais	00261.001709/2021-94				37.241.944/0001-60			Processo nº 00261.001709/2021-94. A certidão 0139039 contém o link para documentos públicos anteriores a 01/08/2024.
  Claro S.A. e Serasa S.A.	Verificação de conformidade do tratamento de dados pessoais	00261.000227/2022-06				40.432.544/0001-47 e 62.173.620/0001-80, respectivamente			Apartado público em construção. Previsão de disponibilidade em dezembro de 2024.
  WhatsApp LLC.	Verificação de conformidade do tratamento de dados pessoais - Compartilhamento de dados com as Empresas do Grupo Meta (Facebook)	00261.001296/2022-29				13.347.016/0001-17* Facebook (grupo Meta)			Processo nº 00261.001450/2023-43. A certidão 0136611 contém o link para documentos públicos anteriores a 01/08/2024.
  Instituto Nacional do Seguro Social (INSS) e Dataprev	Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados	00261.001688/2022-98				29.979.036/0001-40 e 42.422.253/0001-01, respectivamente			Processo nº 00261.003506/2024-85. A certidão 0138873 contém o link para documentos públicos anteriores a 01/08/2024.
  Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi	Verificação de conformidade do tratamento de dados pessoais de crianças e adolescentes por plataformas digitais de ensino	00261.001328/2023-77				Centro de Mídias da Educação de São Paulo (Secretaria da Educação do Estado de São Paulo) - 46.384.111/0001-40 Descomplica - 10.393.366/0001-21 Escola Mais - 26.086.054/0001-05 Estude em casa (Secretaria de Educação do Estado de Minas Gerais) - 18.715.599/0001-05 Explicaê - 24.708.800/0001-20 MangaHigh - 21.149.369/0001-30 Stoodi - 19.292.023/0001-45 (quando da instauração do processo), atualmente incorporada pela EDE 38.733.648/0001-40			Apartado público em construção. Previsão de disponibilidade em dezembro de 2024.
  RaiaDrogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias)	Verificação de conformidade do tratamento de dados pessoais	00261.001371/2023-32				RaiaDrogasil S.A. - 61.585.865/0001-51 Stix Fidelidade e Inteligência S.A. - 31.688.927/0001-90 Febrafar - 05.341.062/0001-80			Processo nº 00261.005364/2024-91.
  Ministério da Justiça e Segurança Pública (MJSP)	Verificação de conformidade do tratamento de dados pessoais - compartilhamento de dados pessoais - Projeto Estádio Seguro	00261.001722/2023-13				00.394.494/0001-36			Processo nº 00261.001722/2023-13. A certidão 0139470 contém o link para documentos públicos anteriores a 01/08/2024.
  Tudo Sobre Todos	Verificação de conformidade do tratamento de dados pessoais	00261.003304/2023-52				Não identificado			Processo nº 00261.003304/2023-52. A certidão 0139800 contém o link para documentos públicos anteriores a 01/08/2024.
  Itaú Unibanco S.A.	Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados	00261.000698/2024-78				60.701.190/0001-04			Processo nº 00261.000698/2024-78. A certidão 0138981 contém o link para documentos públicos anteriores a 01/08/2024.
  Banco Pan S.A.	Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados	00261.000705/2024-31				59.285.411/0001-13			Processo nº 00261.000705/2024-31. A certidão 0138982 contém o link para documentos públicos anteriores a 01/08/2024.
  Banco Santander (Brasil) S.A.	Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados	00261.000706/2024-86				90.400.888/0001-42			Processo nº 00261.000706/2024-86. A certidão 0138983 contém o link para documentos públicos anteriores a 01/08/2024.
  Banco Bradesco S.A.	Verificação de conformidade do tratamento de dados pessoais - compartilhamento para oferta de empréstimos consignados	00261.001596/2024-70				60.746.948/0001-12			Processo nº 00261.001596/2024-70. A certidão 0138984 contém o link para documentos públicos anteriores a 01/08/2024.
  Meta Platforms, Inc.	Verificação de conformidade do tratamento de dados pessoais - Inteligência Artificial Generativa	00261.004509/2024-36				Sem CNPJ específico 13.347.016/0001-17* Facebook (Grupo Meta)			Processo nº 00261.004509/2024-36. A certidão 0143204 contém o link para documentos públicos anteriores a 01/08/2024.
  X Corp. (Anteriormente "Twitter")	Verificação de conformidade do tratamento de dados pessoais - Inteligência Artificial Generativa	00261.005116/2024-40				Não identificado			Processo nº 00261.005116/2024-40

• Processos de Fiscalização Concluídos

  Agente de Tratamento	Escopo da Análise	Nº do Processo	CNPJ	Acesso aos documentos públicos do processo por meio da Pesquisa Pública
  DNIT e PRF	Compartilhamento de dados do DNIT para PRF	00046.000690/2020-22	04.892.707/0001-00	-
  WhatsApp LLC	Avaliação da alteração da Política de Privacidade	00261.000012/2021-04* - parte1 00261.000012/2021-04* - parte2 *Clique para acessar o inteiro teor dos documentos públicos deste processo.	13.347.016/0001-17* Facebook	Processo nº 00261.001145/2024-32. Nota 4 (0136622) contém o link para documentos públicos anteriores a 01/08/2024
  Facebook	Verificação de conformidade do tratamento de dados pessoais	00261.000342/2021-91	13.347.016/0001-17	-
  Prefeitura de Rebouças/PR	Divulgação de dados pessoais sensíveis	00261.000565/2021-59	77.774.859/0001-82	-
  Polícia Federal	Verificação de conformidade do tratamento de dados pessoais	00261.000836/2021-76	00.394.494/0014-50	-
  Prefeitura do Recife/PE	Verificação de conformidade do tratamento de dados pessoais - Contratação de monitoramento e reconhecimento facial	00261.001708/2021-40	10.565.000/0001-92	-
  Receita Federal do Brasil	Verificação de conformidade do tratamento de dados pessoais - Portaria RFB nº 81/2021	00261.001732/2021-89	00.394.460/0058-87	-
  Secretaria de Governo Digital (Ministério da Gestão e Inovação)	Verificação de conformidade do tratamento de dados pessoais - Acordo de Cooperação Técnica nº 27/2021 - SGD x Associação Brasileira de Bancos	00261.000043/2022-38	00.489.828/0027-94	-
  Secretaria de Governo Digital (Ministério da Gestão e Inovação)	Verificação de conformidade do tratamento de dados pessoais - Acordo de Cooperação Técnica nº 16/2021 - SGD x FEBRABAN	00261.000064/2022-53	00.489.828/0027-94	-
  Ministério da Saúde	Verificação de conformidade do tratamento de dados pessoais - Vazamento de dados de médicos participantes de audiência pública	00261.000079/2022-11	00.394.544/0036-05	-
  Telegram Messenger Inc.	Verificação de conformidade do tratamento de dados pessoais	00261.000298/2022-09* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	Não identificado	Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0151944
  Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP)	Verificação de conformidade do tratamento de dados pessoais - Mudanças na política de publicação de dados do ENEM	00261.000730/2022-53 Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0145374	01.678.363/0001-43	Inteiro teor disponível por meio da pesquisa pública, pelo link disponível na Certidão 0145374
  Receita Federal do Brasil	Verificação de conformidade do tratamento de dados pessoais - Portaria RFB nº 167/2022	00261.000821/2022-99	00.394.460/0058-87	-
  Buonny e Open Tech	Verificação de conformidade do tratamento de dados pessoais - Uso de dados pessoais para fins discriminatórios	00261.000851/2022-03	06.326.025/0001-66 e 04.368.185/0001-42, respectivamente	A Certidão 0147455 contém o link para documentos públicos do processo anteriores a 01/08/2024
  Serviço Federal de Processamento de Dados - Serpro	Acordo de Cooperação Técnica entre Serpro e Drumwave	00261.001457/2022-84* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	33.683.111/0001-07	Documentos públicos disponíveis no módulo de pesquisa pública, por meio do documento 0149559
  Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar) e Algar Soluções em TIC S.A. (Algar Telecom) e Ótima Technology Ltda	Verificação de conformidade do tratamento de dados pessoais	00261.002036/2022-71	Gov. Paraná - 76.416.940/0001-28, Celepar - 76.545.011/0003-80, Algar - 71.208.516/0001-74 e Ótima Tech - 15.185.990/0001-57	Documentos públicos disponíveis no processo 00261.006145/2024-29
  Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE	Verificação de conformidade do tratamento de dados pessoais	00261.002211/2022-20* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	17.904.427/0001-17	-
  Secretaria de Governo Digital (Ministério da Gestão e Inovação)	Verificação de conformidade do tratamento de dados pessoais - Compartilhamento de dados entre órgãos públicos	00261.002620/2022-26	00.489.828/0027-94	-
  Não identificado	Verificação de conformidade do tratamento de dados pessoais de 223 milhões de cidadãos brasileiros	00261.000050/2021-59	Não identificado.	-
  Ministério da Justiça e Segurança Pública (MJSP)	Verificação de conformidade do tratamento de dados pessoais na contratação de ferramenta de pesquisa em fontes abertas	00261.001028/2021-26	00.394.494/0001-36	A Certidão 0148234 contém o link para documentos públicos anteriores a 01/08/2024.

A atividade repressiva se caracteriza pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à reparação dos danos, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas na LGPD, por meio de Processo Administrativo Sancionador. Na ausência de indícios suficientes para confirmar a materialidade da autoria, o Processo Administrativo Sancionador pode ser precedido do Procedimento Preparatório.

• Processo Preparatório

  Unidade Administrativa Responsável (Coordenação de Fiscalização). E-mail: fiscalizacao@anpd.gov.br.

  A ANPD poderá realizar averiguações preliminares, por iniciativa própria ou mediante requerimento, quando os indícios da prática de infração não forem suficientes para a instauração imediata do Processo Administrativo Sancionador. Um dos meios para a elucidação dos fatos são as diligências, nos termos da LGPD e da regulamentação vigente. Após a instrução do procedimento preparatório, a Autoridade pode optar por arquivá-lo ou iniciar o Processo Sancionador, embora possa instaurá-lo diretamente se a infração for grave, reincidente ou afetar gravemente os direitos pessoais.

• Processos Preparatórios em Andamento

  Agente de Tratamento	Motivo da Instauração	Nº do Processo	CNPJ	Acesso aos documentos públicos do processo por meio da Pesquisa Pública
  BuscaDados	Verificação de conformidade do tratamento de dados pessoais	00261.003388/2023-24	Não identificado	Processo nº 00261.003388/2023-24. A certidão 0139041 contém o link para documentos públicos anteriores a 01/08/2024.
  BuscaPrime	Verificação de conformidade do tratamento de dados pessoais	00261.004500/2024-25	37.947.006/0001-80	Processo nº 00261.004500/2024-25. A certidão 0139046 contém o link para documentos públicos anteriores a 01/08/2024.
  iFind	Verificação de conformidade do tratamento de dados pessoais	00261.001522/2023-52	Não identificado	Processo nº 00261.001522/2023-52. A certidão 0139047 contém o link para documentos públicos anteriores a 01/08/2024.
  MetaBusca	Verificação de conformidade do tratamento de dados pessoais	00261.003240/2023-90	37.883.875/0001-99	Processo nº 00261.003240/2023-90. A certidão 0139048 contém o link para documentos públicos anteriores a 01/08/2024.

• Procedimento Administrativo Sancionador

  Esse tipo de processo visa apurar infrações à legislação de proteção de dados, podendo ser iniciado de ofício, por meio do monitoramento ou por requerimento. Uma vez instaurado via despacho de instauração, não cabe recurso administrativo contra sua instauração. A condução do Processo é pautada por princípios de legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa e eficiência, observando critérios como adequação entre meios e fins, respeito às formalidades essenciais, impulso de ofício do processo e interpretação normativa que atenda ao interesse público.

  A instauração de processo sancionador não significa condenação ou certidão de que o autuado faz tratamento ilegal de dados pessoais. Em respeito aos princípios do contraditório e da ampla defesa, o autuado terá oportunidade de se manifestar no processo, apresentando seus argumentos de defesa e provas com o objetivo de demonstrar que sua atuação não viola a LGPD.

• Processos Administrativos Sancionadores em Andamento

  Agente de Tratamento	Motivo da Instauração	Nº do Processo	CNPJ
  Ministério da Saúde	Falta de comprovação de indicação do encarregado, ausência de envio do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD	00261.000456/2022-12	00.394.544/0036-05
  Ministério da Saúde	Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança	00261.001882/2022-73	00.394.544/0036-05
  Secretaria de Desenvolvimento Social, Criança e Juventude - SDSCJ	Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança	00261.001963/2022-73* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	08.642.138/0001-04

• Processo Administrativo Sancionadores Concluídos

   

  Agente de Tratamento	Motivo da Instauração	Nº do Processo	CNPJ	Acesso aos documentos públicos do processo por meio da Pesquisa Pública
  Telekall Infoservices	Não atendimento à determinação da ANPD	00261.000489/2022-62 *Clique para acessar o inteiro teor dos documentos públicos deste processo.	12.193.228/0001-24	Consulta aos documentos públicos disponível na Certidão 0154102, no processo nº 00261.000489/2022-62.
  Instituto de Pesquisa Jardim Botânico do Rio de Janeiro	Falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD	00261.000574/2022-21 *Clique para acessar o inteiro teor dos documentos públicos deste processo.	04.936.616/0001-20	Consulta aos documentos públicos disponível na Certidão 0154108, no processo nº 00261.000574/2022-21.
  Secretaria de Educação do Distrito Federal	Falta de comunicação de incidente aos titulares, ausência de comprovação que os sistemas utilizados atendem aos requisitos de segurança, padrões de boas práticas e governança, ausência de comprovação da manutenção de registros das operações de tratamento de dados pessoais, não apresentação de RIPD e por deixar de atender requisições da ANPD	00261.001192/2022-14  parte1 * parte2 * *Clique para acessar o inteiro teor dos documentos públicos deste processo. .	00.394.676/0001-07	Consulta aos documentos públicos disponível na Certidão 0154118, no processo nº 00261.001192/2022-14.
  Secretaria de Estado da Saúde de Santa Catarina	Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD	00261.001886/2022-51* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	82.951.245/0001-69	Consulta aos documentos públicos disponível na Certidão 0154137, no processo nº 00261.001886/2022-51.
  Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE	Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança	00261.001969/2022-41* *Clique para acessar o inteiro teor dos documentos públicos deste processo.	60.747.318/0001-62	Consulta aos documentos públicos disponível na Certidão 0154652, no processo nº 00261.001969/2022-41.
  Instituto Nacional do Seguro Social - INSS	Ausência de comunicação de incidente de segurança aos titulares e não atendimento de medida preventiva adotada pela ANPD	00261.001888/2023-21 principal * recurso * *Clique para acessar o inteiro teor dos documentos públicos deste processo.	29.979.036/0001-40	-

Um incidente de segurança é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. A ocorrência de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares deve ser comunicada à ANPD e ao titular de dados, pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, via peticionamento eletrônico por meio do sistema SEI! da ANPD.

O propósito da comunicação do incidente à ANPD é permitir que a fiscalização possa acompanhar o controlador de dados no processo, incluídas as medidas de segurança da informação e as medidas de mitigação do impacto do incidente sobre os titulares de dados. É por intermédio desse acompanhamento que a fiscalização verifica se o controlador tomou as providências necessárias tanto para evitar novos incidentes quanto para proteger os titulares das consequências do incidente.

Unidade Administrativa Responsável (Coordenação de Tratamento de Incidente de Segurança. E-mail: incidentes@anpd.gov.br.

• Números dos Incidentes de Segurança

  Um incidente de segurança é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. A ocorrência de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares deve ser comunicada à ANPD e ao titular de dados, pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, via peticionamento eletrônico por meio do sistema SEI! da ANPD.

  COMUNICADOS DE INCIDENTE DE SEGURANÇA RECEBIDOS PELA ANPD

  Ano	Comunicados no Ano	Acumulado desde 2021
  2021	186	186
  2022	275	461
  2023	352	813
  2024 (até setembro)	250	1.063

  

  .

  Tipo de Incidente (2023)	Quantidade de Comunicados
  Sequestro de Dados (ransomware) sem transferência de informações	69
  Sequestro de dados (ransomware) com transferência e/ou publicação de informações	65
  Exploração de vulnerabilidade em sistemas de informação	54
  Acesso não autorizado a sistemas de informação	35
  Divulgação indevida de dados pessoais	25
  Roubo de credenciais / Engenharia Social	24
  Envio de dados a destinatário incorreto	23
  Outro tipo de incidente não cibernético	13
  Perda/roubo de documentos ou dispositivos eletrônicos	11
  Publicação não intencional de dados pessoais	10
  Outro tipo de incidente cibernético	8
  Falha em sistema de informação (software)	8
  Alteração/exclusão não autorizada de dados pessoais	2
  Vírus de Computador / Malware	2
  Descarte incorreto de documentos ou dispositivos eletrônicos	1
  Violação de credencial por força bruta	1
  Negação de Serviço (DoS)	1
  Total Geral	352

  Tipo de Incidente (até setembro/2024)	Quantidade de Comunicados
  Sequestro de Dados (ransomware) sem transferência de informações	42
  Roubo de credenciais / Engenharia Social	40
  Acesso não autorizado a sistemas de informação	27
  Exploração de vulnerabilidade em sistemas de informação	27
  Sequestro de dados (ransomware) com transferência e/ou publicação de informações	24
  Outro tipo de incidente cibernético	20
  Divulgação indevida de dados pessoais	19
  Envio de dados a destinatário incorreto	15
  Publicação não intencional de dados pessoais	11
  Outro tipo de incidente não cibernético	9
  Falha em sistema de informação (software)	6
  Perda/roubo de documentos ou dispositivos eletrônicos	6
  Navegação de Serviço (DoS)	2
  Falha em equipamento (hardware)	1
  Violação de credencial por força bruta	1
  Total Geral	250