Comunicação de incidente de segurança
Orientações Gerais
A Lei Geral de Proteção de Dados (LGPD) determina aos agentes de tratamento de dados pessoais (controladores e operadores) a adoção de medidas para prevenir a ocorrência de danos aos titulares em virtude de suas atividades.
Na eventualidade de um incidente de segurança, uma importante medida de mitigação de danos é a comunicação da ocorrência aos titulares dos dados pessoais violados. Dessa forma, eles poderão tomar conhecimento do ocorrido e adotar medidas de precaução para mitigar os riscos a que foram expostos em razão do incidente.
A LGPD impõe aos controladores, em seu art. 48, o dever de comunicar aos titulares e à ANPD a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares. O cumprimento dessa obrigação junto à ANPD e aos titulares afetados, se dá no processo de Comunicação de Incidente de Segurança (CIS).
 |
É a Coordenação-Geral de Fiscalização (CGF) da ANPD quem recebe as comunicações de incidente de segurança e dá a elas o tratamento necessário, bem como é a responsável por fiscalizar e aplicar as sanções administrativas cabíveis. |
Procedimento para Comunicação de Incidente à ANPD
A comunicação de incidentes de segurança à ANPD deve ser realizada pelo encarregado pela proteção de dados ou por um representante legalmente constituído do controlador, por peticionamento eletrônico por meio do sistema SEI! da ANPD.
Para comunicar um incidente de segurança, siga os passos abaixo:
Comunicando um incidente novo:
1. Faça login no sistema SEI! da ANPD.
2. No menu à esquerda, selecione "Processo Novo" na seção "Peticionamento" .
- Peticionamento processo novo
3. Escolha o tipo de processo "ANPD – Comunicados de Incidentes à Autoridade Nacional de Proteção de Dados".
- Tipo de Processo
4. Clique e preencha o formulário de incidente de segurança – preliminar ou completo – que aparece em "Documento Principal".
5. Em "Documentos Complementares", adicione a documentação que comprova a legitimidade para representar o controlador junto à ANPD. Isso pode incluir o ato de designação do encarregado, procuração e atos constitutivos como contrato ou estatuto social, se aplicável.
- Inserindo documentos complementares
6. Mais informações sobre como realizar um peticionamento novo podem ser consultadas no Manual do SEI da ANPD, disponível no link: https://www.gov.br/anpd/pt-br/canais_atendimento/manual_usuario_externo_sei_v17-07-2024.pdf.
Complementando um Comunicado de Incidente já existente:
Caso necessite acrescentar informações a um incidente de segurança já comunicado (por exemplo, apresentar informações adicionais), utilize a função “peticionamento intercorrente”, de acordo com as orientações abaixo. Dessa forma, todas as informações sobre um mesmo incidente serão instruídas em um mesmo processo, tornando mais simples a análise da documentação pela ANPD e o acompanhamento pelo próprio agente de tratamento.
Para realizar um peticionamento intercorrente, siga os passos abaixo:
1. No menu à esquerda, selecione "Intercorrente" na seção "Peticionamento".
2. Em seguida, digite o número do processo ① em que foi realizada a comunicação preliminar e clique no botão ‘Validar’ ②. Se o número do processo for existente, aparecerá o botão “Adicionar” ③, clique nele.
3. Na sequência, adicione os documentos necessários (Instruções sobre como adicionar documentos).
4. Sendo necessário inserir formulário complementar, clique aqui para baixar o arquivo editável.
No esforço da Autoridade para aprimorar a sua transparência pública, desde 1º de agosto de 2024, foi disponibilizado o Módulo de Pesquisa Pública do SEI!., que permite a consulta diretamente na página de pesquisa processual, sem qualquer solicitação prévia, ao andamento do processo (seja público, seja restrito) e ao inteiro teor de documentos públicos assinados ou gerados a partir de 1º de agosto de 2024, sem a necessidade de login e senha.
Por este motivo, solicitamos aos senhores atenção ao nível de acesso de cada documento peticionado, já que um documento classificado como público terá sua visualização total e irrestrita.
Consulte aqui as informações sobre peticionamento eletrônico e aqui o manual do SEI! da ANPD.
Após a finalização, um Recibo Eletrônico de Protocolo será gerado automaticamente pelo sistema e incluído no processo.
Em caso de dificuldade no cadastro no SEI!, entre em contato com o Protocolo da ANPD por meio do e-mail protocolo@anpd.gov.br
Dúvidas a respeito do procedimento de comunicação de incidentes de segurança devem ser encaminhadas à CGF, por meio do e-mail incidentes@anpd.gov.br.
Dúvidas Frequentes Sobre Incidentes de Segurança
O que é um incidente de segurança com dados pessoais?
É um evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
Incidentes podem ocorrer de forma acidental, como o envio de informações para o destinatário incorreto, ou em decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade dados pessoais. São exemplos de incidentes de segurança o sequestro de dados (ransomware), o acesso não autorizado a dados armazenados em sistemas de informação e a publicação não intencional de dados dos titulares.
Nem todo incidente de segurança da informação envolve dados pessoais. Incidentes que envolvam somente dados anonimizados ou que não estejam relacionados a pessoas naturais identificadas ou identificáveis não precisam ser comunicados à ANPD.
A mera existência de uma vulnerabilidade em um sistema de informação não constitui um incidente de segurança. A exploração da referida vulnerabilidade, no entanto, pode resultar em um incidente.
Quais incidentes de segurança precisam ser comunicados aos titulares e à ANPD?
Somente os controladores sujeitos à Lei Geral de Proteção de Dados têm obrigação de comunicar os incidentes à ANPD.
Um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios:
-
Tenha a ocorrência confirmada pelo agente.
-
Envolva dados pessoais sujeitos à LGPD.
-
Possa acarretar risco ou dano relevante aos titulares dos dados.
Veja exemplos de incidentes capazes de gerar risco ou dano relevante aos titulares:
|
|
A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.
|
||
|
|
A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.
|
||
|
|
A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.
|
||
O que deve ser considerado na avalição de risco de um incidente com dados pessoais?
Na avaliação de risco do incidente, devem ser considerados, dentre outros aspectos:
-
O contexto da atividade de tratamento de dados;
-
As categorias e quantidades de titulares afetados;
-
As naturezas, as categorias e a quantidade de dados violados;
-
Os potenciais danos materiais, morais, reputacionais causados aos titulares;
-
Se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
-
As medidas de mitigação adotadas pelo controlador após o incidente.
Um mesmo tipo incidente pode ou não ser considerado capaz de causar risco ou dano relevante em função da combinação desses critérios.
Um incidente de roubo de um dispositivo eletrônico, por exemplo, pode ou não ser capaz de causar um risco relevante aos titulares de dados. A avaliação vai depender do tipo de dado armazenado, do contexto da atividade de tratamento e do fato de os dados estarem ou não protegidos por criptografia.
São considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos.
Qual o prazo para comunicar um incidente de segurança?
Conforme o Art. 6º e o Art. 9º da Resolução CD/ANPD nº 15, de 24 de abril de 2024 que Aprova o Regulamento de Comunicação de Incidente de Segurança, a comunicação à ANPD e ao(s) titular(es) deverá ser realizada pelo controlador no prazo de três (3) dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica.
A comunicação voluntária do incidente pelo controlador é demonstração de transparência, cooperação e boa-fé do agente e será considerada em eventual ação de fiscalização da ANPD.
Como proceder se informações sobre o incidente não estiverem disponíveis no prazo recomendado pela ANPD?
Excepcionalmente, na hipótese de o controlador não dispor de informações completas a respeito do incidente ou não conseguir notificar a todos os titulares no prazo recomendado, a comunicação à ANPD poderá ser realizada em etapas: preliminar e complementar.
A impossibilidade de realizar a comunicação completa deve ser devidamente justificada pelo controlador. Conforme § 3º do Regulamento de Comunicação de Incidente de Segurança, as informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.
A comunicação complementar deve ser protocolada no mesmo processo que a comunicação preliminar, por meio de petição intercorrente.
Qual o papel do operador no processo de comunicação de incidentes de segurança?
A obrigação legal de comunicar o incidente de segurança aos titulares e à ANPD é do controlador, nos termos do art. 48 da LGPD. No entanto, a obrigação de adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais se estende a todos os agentes de tratamento de dados, inclusive aos operadores.
Quando um incidente de segurança ocorre, o operador deverá informar o fato, sem demora injustificada, ao controlador dos dados. Todas as informações necessárias à comunicação do incidente de segurança à ANPD e aos titulares deverão ser fornecidas pelo operador ao controlador.
Como comunicar um incidente de segurança aos titulares de dados?
A comunicação deve ser realizada o mais rápido possível, uma vez que o controlador constate que o incidente pode causar risco ou dano relevante aos titulares. Isso permite aos titulares mitigarem eventuais impactos negativos decorrentes do incidente.
A comunicação deve ser feita de forma individual e diretamente aos titulares, sempre que possível. Pode ser realizada por quaisquer meios tais como e-mail, SMS, carta ou mensagem eletrônica e, preferencialmente, através do canal já habitualmente utilizado pelo agente para se comunicar com o titular.
Se, apesar de confirmada a ocorrência do incidente, não foi possível individualizar os titulares afetados, pode ser necessário comunicar a todos cujos dados estejam presentes na base de dados violada.
Excepcionalmente, e de forma justificada, pode ser feita a comunicação indireta por meio de publicação em meios de comunicação. O meio utilizado deve ser capaz de alcançar o maior número possível de titulares, e deve ser dado o devido destaque à divulgação.
II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo do caput deste artigo;
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;
VI - a data do conhecimento do incidente de segurança; e
VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.
O que ocorre após a comunicação de incidente à ANPD?
As comunicações de incidente de segurança são recebidas e tratadas pela Coordenação-Geral de Fiscalização (CGF) da ANPD. A gravidade do incidente será considerada na priorização da análise dos comunicados recebidos.
Caso o controlador já tenha comunicado a ocorrência do incidente aos titulares de dados e, após análise, a CGF não identificar infração à LGPD e nem a necessidade de adoção de medidas adicionais, o processo será arquivado.
Se a comunicação aos titulares não tiver sido realizada ou for considerada inadequada, pode ser determinada a sua realização ou correção em sua forma ou conteúdo. Se necessário, poderá ser determinado ao controlador a adoção de medidas adicionais para mitigação dos efeitos do incidente, como sua ampla divulgação.
Além disso, a CGF avaliará a possível ocorrência de infrações à LGPD e aplicará, se cabível, as sanções administrativas previstas no art. 52 da LGPD, em procedimento administrativo que possibilite a ampla defesa e o contraditório às partes.
Poderão ser aplicadas medidas preventivas e sanções, dentre outras situações, nos casos em que o controlador:
-
Não comunicar o incidente à ANPD e aos titulares em tempo razoável;
-
Não comunicar o incidente aos titulares de dados pessoais afetados;
-
Não adotar medidas de segurança técnicas e administrativas compatíveis aos riscos de suas atividades de tratamento de dados.