A proteção de dados pessoais constitui um compromisso institucional do Ministério e integra as práticas de governança, segurança da informação e transparência na Administração Pública. Nesse contexto, os incidentes de segurança envolvendo dados pessoais devem ser tratados com celeridade, responsabilidade e observância às normas vigentes, especialmente à Lei Geral de Proteção de Dados (LGPD) e à Resolução CD/ANPD nº 15, de 24 de abril de 2024, que disciplina os procedimentos de comunicação de incidentes de segurança.
A identificação e a comunicação tempestiva desses eventos são essenciais para possibilitar a adoção de medidas de contenção, mitigação de riscos e proteção dos direitos dos titulares de dados pessoais. Nesta página, são apresentadas orientações sobre o que caracteriza um incidente de segurança com dados pessoais, exemplos de ocorrências, procedimentos de comunicação e as medidas adotadas pela instituição para o tratamento dessas situações.
🔐O QUE É UM INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS?
Qualquer evento que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais, podendo causar risco ou dano aos titulares.
- .
Incidentes podem ocorrer de forma acidental, como o envio de informações para o destinatário incorreto, ou em decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados. Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade de dados pessoais.
Exemplos:
↳ Sequestro de Dados (ransomware): Bloqueio ou criptografia indevida de sistemas e bases de dados.
↳ Acesso Não Autorizado: Invasão ou utilização indevida de credenciais.
↳ Publicação Indevida: Divulgação de dados pessoais em canais institucionais ou externos.
↳ Divulgação em Resposta Administrativa: Envio indevido de dados pessoais em manifestações ou respostas formais.
↳ Vazamento de Base de Pesquisa: Exposição indevida de dados utilizados em estudos ou projetos científicos.
↳ Comprometimento de Plataforma: Falha técnica ou ataque que comprometa sistemas institucionais.
🚨 O QUE FAZER AO IDENTIFICAR UM INCIDENTE
A comunicação imediata de incidentes ou suspeitas é essencial para que a instituição possa avaliar o risco, adotar medidas de contenção e cumprir as obrigações legais.
Caso você identifique ou suspeite de um incidente de segurança envolvendo dados pessoais sob a custódia do Ministério da Ciência, Tecnologia e Inovação é essencial comunicar imediatamente aos canais oficiais. As manifestações podem ser registradas por qualquer pessoa (cidadãos, servidores públicos ou parceiros institucionais) através dos seguintes meios:
↳ Plataforma Fala.BR; ou
↳ Correspondência oficial: Memorandos ou ofícios endereçados ao MCTI.
🏛️TRATAMENTO DO INCIDENTE PELO MINISTÉRIO
Após o registro do incidente de segurança, o MCTI realiza procedimentos técnicos e administrativos voltados à análise do evento, à contenção da ocorrência e à adoção das medidas necessárias para mitigar seus efeitos. Entre as providências adotadas, destacam-se:
↳ Formalização e registro do incidente de segurança no âmbito institucional;
↳ Análise do potencial impacto e dos riscos aos titulares de dados pessoais;
↳ Adoção de medidas técnicas e administrativas voltadas à contenção do incidente e à mitigação de seus efeitos; e
↳ Envio de informações à ANPD e aos titulares, quando caracterizado risco ou dano relevante, nos termos da legislação e da regulamentação aplicáveis.
📢 COMUNICAÇÃO DO INCIDENTE
O incidente deverá ser comunicado aos titulares e à ANPD quando o incidente acarretar risco ou dano relevante ao titular dos dados pessoais, arts. 6º e 9º, Resolução CD/ANPD nº 15, de 2024.
A comunicação ocorrerá quando o incidente atender, cumulativamente, aos seguintes critérios:
COMUNICAÇÃO AOS TITULARES
Após o registro do incidente de segurança, a instituição adota procedimentos técnicos e administrativos destinados à avaliação do evento, à contenção da ocorrência e à definição das medidas cabíveis, em conformidade com as diretrizes da LGPD. Nesse contexto, são realizadas as seguintes providências:
- .
A comunicação e o registro do incidente são essenciais para viabilizar a adequada apuração dos fatos, a adoção de medidas de contenção e mitigação, bem como para assegurar a proteção dos direitos e das liberdades fundamentais dos titulares de dados pessoais.
COMUNICAÇÃO À ANPD
Quando um incidente de segurança puder acarretar risco ou dano relevante aos titulares de dados pessoais, o Ministério deverá realizar a comunicação à Agência Nacional de Proteção de Dados (ANPD) nos termos da regulamentação vigente.
A comunicação deverá ser realizada no prazo de três dias úteis, contados do momento em que o controlador tiver conhecimento de que o incidente afetou dados pessoais.
A comunicação deverá conter, no mínimo, informações sobre a natureza dos dados pessoais afetados, as medidas técnicas e de segurança utilizadas para proteção dos dados, os riscos relacionados ao incidente, bem como as providências adotadas para mitigar ou reverter seus efeitos.
Para assegurar a adequada gestão desses eventos, o Ministério adota procedimentos internos destinados à identificação, análise e comunicação de incidentes de segurança, em conformidade com os critérios e parâmetros estabelecidos pela ANPD.