janeiro 12, 2023

[Segurança] Como comunicar incidentes com dados pessoais

Recentemente a Autoridade de Proteção de Dados (ANPD) divulgou um novo formulário para o envio de Comunicados de Incidentes de Segurança, oferecendo um formulário mais detalhado para ser usado nas comunicações formais de incidentes relacionados ao tratamento de dados pessoais. Essa é uma ótima oportunidade para conhecermos qual é o processo adotado pela ANPD para realizar essas notificações.

Segundo o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018), a ocorrência de incidente de segurança da informação que impacte os dados pessoais deve ser notificada à ANPD e ao usuário titular do dado, em prazo razoável.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.


A notificação do incidente deve incluir a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Além disso, no caso da comunicação não ter sido imediata, a empresa também deve apresentar os motivos da demora.

A página Comunicação de incidente de segurança. disponível no site da ANPD, detalha como deve ser feito esse processo. Mas, de uma forma resumida, a comunicação de um incidente para a ANPD deve ser feita da seguinte forma:

  1. A comunicação de incidentes de segurança à ANPD deve ser realizada pelo encarregado pela proteção de dados (DPO) ou por um representante legalmente constituído do controlador de dados;
  2. Deve ser feito o preenchimento do Formulário de Comunicação de Incidente de Segurança com Dados Pessoais disponibilizado no site da ANPD;


  3. O formulário é beeem grandinho, e solicita informações sobre a empresa e sobre o incidente
    • É possível fazer a comunicação "Completa "(com todas as informações a respeito do incidente, aonde a comunicação aos titulares já foi realizada), "Preliminar"(quando nem todas as informações sobre o incidente estão disponíveis ou se a comunicação aos titulares ainda não foi realizada) ou de forma "Complementar" (após a comunicação preliminar);
    • Dentre as diversas informações exigidas, deve ser detalhado como a empresa tomou ciência do incidente, como e quando do foi feita sua comunicação para as autoridades e titulares, qual o tipo de incidente e seu impacto (informando quais dados pessoais foram violados, como e qual o risco), além de quais as medidas de segurança existentes no momento do incidente e quais foram adotadas após o incidente.


  4. O formulário deve ser protocolado eletronicamente por meio do sistema de Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
    • Durante o protocolo, selecione o tipo de processo “ANPD – Comunicados de Incidentes à Autoridade Nacional de Proteção de Dados”.
    • Junte ao processo o formulário preenchido, preferencialmente em formato PDF, e os documentos complementares, tais como ato de designação do encarregado, procuração ou contrato social.
  5. Após a finalização, um Recibo Eletrônico de Protocolo será gerado automaticamente pelo sistema e incluído no processo.

Vale a pena baixar o formulário e entender que informações são exigidas pela ANPD, em caso de incidentes. Isso é útil até mesmo para, preventivamente, revisar seu plano e seu processo de resposta a incidentes. Também serve de subsídios para avaliar quais controles de segurança sua empresa possui, pois eles serão cobrados em caso de incidentes.

Para saber mais:

PS: Post atualizado em 08/05.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.