Comunicação de Incidente de Segurança

1. Faça login no sistema SEI! ANPD aqui.

2. No menu à esquerda, selecione "Processo Novo" na seção "Peticionamento" .

3. Escolha o tipo de processo "ANPD – Comunicados de Incidentes à Agência Nacional de Proteção de Dados".

4. Clique e preencha o formulário de incidente de segurança – preliminar ou completo – que aparece em "Documento Principal".

Clicar no Formulário

5. Em "Documentos Complementares", adicione a documentação que comprova a legitimidade para representar o controlador junto à ANPD. Isso pode incluir o ato de designação do encarregado, procuração e atos constitutivos como contrato ou estatuto social, se aplicável.

6. Mais informações sobre como realizar um peticionamento novo podem ser consultadas no Manual do SEI da ANPD, disponível no link: https://www.gov.br/anpd/pt-br/canais_atendimento/manual_usuario_externo_sei_v17-07-2024.pdf.

Caso necessite acrescentar informações a um incidente de segurança já comunicado (por exemplo, apresentar informações adicionais), utilize a função “peticionamento intercorrente”, de acordo com as orientações abaixo. Dessa forma, todas as informações sobre um mesmo incidente serão instruídas em um mesmo processo, tornando mais simples a análise da documentação pela ANPD e o acompanhamento pelo próprio agente de tratamento.

• Formulário Complementar.
• Acesso SEI!ANPD.

Para realizar um peticionamento intercorrente, siga os passos abaixo: 

1. No menu à esquerda, selecione "Intercorrente" na seção "Peticionamento".

2. Em seguida, digite o número do processo ① em que foi realizada a comunicação preliminar e clique no botão ‘Validar’ ②. Se o número do processo for existente, aparecerá o botão “Adicionar” ③, clique nele. 

3. Na sequência, adicione os documentos necessários (Instruções sobre como adicionar documentos).

4. Sendo necessário inserir formulário complementar, clique aqui para baixar o arquivo editável.

  É um evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

Incidentes podem ocorrer de forma acidental, como o envio de informações para o destinatário incorreto, ou em decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.

Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade dados pessoais. São exemplos de incidentes de segurança o sequestro de dados (ransomware), o acesso não autorizado a dados armazenados em sistemas de informação e a publicação não intencional de dados dos titulares.

Nem todo incidente de segurança da informação envolve dados pessoais. Incidentes que envolvam somente dados anonimizados ou que não estejam relacionados a pessoas naturais identificadas ou identificáveis não precisam ser comunicados à ANPD.

A mera existência de uma vulnerabilidade em um sistema de informação não constitui um incidente de segurança. A exploração da referida vulnerabilidade, no entanto, pode resultar em um incidente.

Cabe ao controlador identificar, tratar e avaliar o risco dos incidentes de segurança que afetem suas operações de tratamento de dados pessoais.

Somente os controladores sujeitos à Lei Geral de Proteção de Dados têm obrigação de comunicar os incidentes à ANPD.

Um incidente precisa ser comunicado se atender, cumulativamente, aos seguintes critérios:

1. Tenha a ocorrência confirmada pelo agente.
2. Envolva dados pessoais sujeitos à LGPD.
3. Possa acarretar risco ou dano relevante aos titulares dos dados.

Veja exemplos de incidentes capazes de gerar risco ou dano relevante aos titulares:

A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.

A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.

A perda, roubo ou destruição acidental de documentos ou dispositivos de armazenamento de dados, seja por meio de fraudes, extravio ou devido a desastres (como enchentes, incêndios e outras catástrofes), que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato pode expor as pessoas a sérios riscos reputacionais, a fraudes financeiras e a roubo de identidade.

Nem todo incidente de segurança deve ser comunicado à ANPD.
Cabe ao controlador avaliar os riscos e impactos aos titulares decorrentes do incidente, e verificar a necessidade de realizar a comunicação.

Na avaliação de risco do incidente, devem ser considerados, dentre outros aspectos:

• O contexto da atividade de tratamento de dados;

• As categorias e quantidades de titulares afetados;

• As naturezas, as categorias e a quantidade de dados violados;

• Os potenciais danos materiais, morais, reputacionais causados aos titulares;

• Se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;

• Se as medidas de mitigação adotadas pelo controlador após o incidente foram suficientes.

Um mesmo tipo incidente pode ou não ser considerado capaz de causar risco ou dano relevante em função da combinação desses critérios. 

Um incidente de roubo de um dispositivo eletrônico, por exemplo, pode ou não ser capaz de causar um risco relevante aos titulares de dados. A avaliação vai depender do tipo de dado armazenado, do contexto da atividade de tratamento e do fato de os dados estarem ou não protegidos por criptografia. 

São considerados incidentes capazes de causar risco ou dano relevante aqueles que possam causar aos titulares danos materiais ou morais, expô-los a situações de discriminação ou de roubo de identidade, especialmente se envolverem dados em larga escala, sensíveis e de grupos vulneráveis como crianças e adolescentes ou idosos. 

Conforme o Art. 6º e o Art. 9º da Resolução CD/ANPD nº 15, de 24 de abril de 2024 que Aprova o Regulamento de Comunicação de Incidente de Segurança, a comunicação à ANPD e ao(s) titular(es) deverá ser realizada pelo controlador no prazo de três (3) dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica.

A comunicação voluntária do incidente pelo controlador é demonstração de transparência, cooperação e boa-fé do agente e será considerada em eventual ação de fiscalização da ANPD. 

A demora injustificada na comunicação de incidente de segurança que possa causar risco ou dano relevante aos titulares pode sujeitar os agentes às sanções administrativas previstas na LGPD.  

Excepcionalmente, na hipótese de o controlador não dispor de informações completas a respeito do incidente ou não conseguir notificar a todos os titulares no prazo recomendado, a comunicação à ANPD poderá ser realizada em etapas: preliminar e complementar. 

A impossibilidade de realizar a comunicação completa deve ser devidamente justificada pelo controlador. Conforme § 3º do Regulamento de Comunicação de Incidente de Segurança, as informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação. 

A comunicação complementar deve ser protocolada no mesmo processo que a comunicação preliminar, por meio de petição intercorrente.

A comunicação preliminar é insuficiente para o cumprimento da obrigação estabelecida pelo art. 48 da LGPD e deve ser complementada pelo controlador no prazo estabelecido.

A obrigação legal de comunicar o incidente de segurança aos titulares e à ANPD é do controlador, nos termos do art. 48 da LGPD. No entanto, a obrigação de adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais se estende a todos os agentes de tratamento de dados, inclusive aos operadores. 

Quando um incidente de segurança ocorre, o operador deverá informar o fato, sem demora injustificada, ao controlador dos dados. Todas as informações necessárias à comunicação do incidente de segurança à ANPD e aos titulares deverão ser fornecidas pelo operador ao controlador. 

Recomenda-se que as obrigações referentes à comunicação de incidentes entre controladores e operadores sejam estabelecidas em contrato, para que possam agilizar o procedimento e minimizar os riscos aos titulares de dados pessoais.

A comunicação deve ser realizada o mais rápido possível, uma vez que o controlador constate que o incidente pode causar risco ou dano relevante aos titulares. Isso permite aos titulares mitigarem eventuais impactos negativos decorrentes do incidente. 

Deve ser feita de forma individual e diretamente aos titulares, sempre que possível.
Pode ser realizada por quaisquer meios tais como e-mail, SMS, carta ou mensagem eletrônica e, preferencialmente, através do canal já habitualmente utilizado pelo agente para se comunicar com o titular.

Se, apesar de confirmada a ocorrência do incidente, não foi possível individualizar os titulares afetados, pode ser necessário comunicar a todos cujos dados estejam presentes na base de dados violada. 

Excepcionalmente, e de forma justificada, pode ser feita a comunicação indireta por meio de publicação em meios de comunicação. O meio utilizado deve ser capaz de alcançar o maior número possível de titulares, e deve ser dado o devido destaque à divulgação. 

Conforme art. 9º do Regulamento de Comunicação de Incidente de Segurança, a comunicação de incidente de segurança ao titular deverá fazer o uso de linguagem simples e de fácil entendimento, ocorrer de forma direta e individualizada, caso seja possível a identificação do titular e conter, ao menos, as seguintes informações:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo do caput deste artigo;

V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

VI - a data do conhecimento do incidente de segurança; e

VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

A ANPD poderá solicitar ao controlador, a qualquer tempo, a apresentação de cópia do comunicado aos titulares para fins de fiscalização.
Não é necessário encaminhar à ANPD a lista de titulares afetados, ou seus dados de contato para comprovação da comunicação.

As comunicações de incidente de segurança são recebidas e tratadas pela Coordenação de Tratamento de Incidentes de Segurança da Coordenação-Geral de Incidentes de Segurança (CTIS/CGIS) da ANPD. A gravidade do incidente será considerada na priorização da análise dos comunicados recebidos.  

Caso o controlador já tenha comunicado a ocorrência do incidente aos titulares de dados e, após análise, a CTIS não identificar infração à LGPD e nem a necessidade de adoção de medidas adicionais, o processo será extinto.

Se a comunicação aos titulares não tiver sido realizada ou for considerada inadequada, pode ser determinada a sua realização ou correção em sua forma ou conteúdo. Se necessário, poderá ser determinado ao controlador a adoção de medidas adicionais para mitigação dos efeitos do incidente, como sua ampla divulgação. 

Além disso, será avaliada a possível ocorrência de infrações à LGPD e aplicará, se cabível, as sanções administrativas previstas no art. 52 da LGPD, em procedimento administrativo que possibilite a ampla defesa e o contraditório às partes. 

Poderão ser aplicadas medidas preventivas e sanções, dentre outras situações, nos casos em que o controlador: 

• Não comunicar o incidente à ANPD e aos titulares em tempo razoável; 

• Não comunicar o incidente aos titulares de dados pessoais afetados; 

• Não adotar medidas de segurança técnicas e administrativas compatíveis aos riscos de suas atividades de tratamento de dados.