Artigo
25/05/2023
Atualizado em 10/04/2026

LGPD X Cyber Segurança: Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais

A ANPD propõe regulamento para padronizar a notificação de incidentes de segurança com dados pessoais, definindo prazos, critérios, responsabilidades e medidas para proteger titulares e garantir transparência.

Imagem de capa do artigo

Queria comentar hoje que a Autoridade Nacional de Proteção de Dados (ANPD) está fazendo uma consulta pública sobre a proposta de "Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais", que tem por objetivo a regulamentação da comunicação de incidentes de segurança, incluindo a especificação do prazo de notificação.

Além disso, a minuta ainda prevê no âmbito da comunicação de incidentes suas definições, aspectos processuais e dispositivos sobre determinação de providências para a salvaguarda dos direitos dos titulares.

O Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais é uma estrutura regulatória que busca normalizar a maneira como as organizações comunicam incidentes de segurança que possam colocar em risco ou causar danos significativos aos titulares de dados, que está de acordo com o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

Este regulamento possui uma série de objetivos principais que procuram garantir a proteção e a segurança dos dados pessoais, em que primeiramente visa proteger os direitos dos titulares dos dados, o que significa que os indivíduos têm o direito de ser informados quando seus dados estão potencialmente em risco e que medidas estão sendo tomadas para protegê-los.

Além disso, o regulamento visa garantir que as medidas adequadas sejam tomadas para minimizar ou reverter os efeitos dos danos causados, o que inclui a obrigação de os agentes de tratamento tomarem medidas para remediar quaisquer efeitos prejudiciais que um incidente de segurança possa ter causado.

Outro objetivo é incentivar a responsabilização e a prestação de contas por parte dos agentes de tratamento, promovendo assim uma cultura de transparência e responsabilidade, à medida que as organizações são incentivadas a assumir a responsabilidade pelos seus erros.

Mais um objetivo é promover a adoção de boas práticas e governança, assim como medidas de prevenção e segurança adequadas, o que incentiva as organizações a manterem altos padrões de segurança para proteger os dados pessoais que detêm.

Além disso, o regulamento busca estimular a cultura de proteção de dados pessoais, ao promover uma maior consciência e entendimento sobre a importância da proteção de dados, tanto para os indivíduos quanto para as organizações.

A norma também busca garantir que os agentes de tratamento atuem de forma transparente, estabelecendo uma relação de confiança com o titular dos dados, o que pode ser alcançado através da comunicação aberta e clara dos processos e práticas de gestão de dados.

Por fim e não menos importante, o regulamento também pretende fornecer subsídios para as atividades regulatórias, de fiscalização e sancionadoras da Autoridade Nacional de Proteção de Dados (ANPD), para que possa fazer cumprir este regulamento e tomar medidas se necessário.

Assim, este Regulamento contribui para um ambiente de tratamento de dados mais seguro, transparente e responsável, sempre colocando os direitos dos titulares de dados em primeiro lugar.

No Capítulo III do Regulamento de Comunicação de Incidente de Segurança, são abordados outro ponto importante, que são os critérios para a comunicação de incidentes de segurança relacionados a dados pessoais.

Onde é dito que o controlador (a parte responsável pelo tratamento dos dados pessoais) é obrigado a comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados qualquer incidente de segurança que possa trazer risco ou dano relevante a esses titulares.

Ainda são estabelecidas as condições sob as quais um incidente de segurança é considerado capaz de causar risco ou dano relevante aos titulares dos dados, que incluem a possibilidade de afetar significativamente os interesses e direitos fundamentais dos titulares, especialmente quando envolvem as seguintes situações:

1) Dados sensíveis:

Esses são dados que, se expostos, podem levar a um aumento significativo do risco de danos pessoais, tais como dados de saúde, orientação sexual, religião, etc.

2) Dados de crianças, adolescentes ou idosos:

Estes são grupos considerados mais vulneráveis e, portanto, a exposição de seus dados é considerada particularmente prejudicial.

3) Dados financeiros:

A exposição desses dados pode levar a perdas financeiras significativas para os titulares.

4) Dados de autenticação em sistemas:

Esses dados podem permitir o acesso não autorizado a sistemas e contas, causando uma variedade de danos.

5) Dados em larga escala:

Incidentes envolvendo grandes volumes de dados têm o potencial de afetar um grande número de pessoas e, portanto, são considerados especialmente graves.

Além disso, a norma também destaca que são considerados incidentes significativos aqueles que possam impedir ou limitar o exercício de direitos ou a utilização de um serviço, ou causar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

Incidentes de segurança com dados pessoais em larga escala são considerados como tal quando afetam um número significativo de titulares de dados. Além do número de pessoas afetadas, também se leva em consideração o volume de dados envolvidos e a extensão geográfica da localização dos titulares. Portanto, um incidente de segurança pode ser considerado de "larga escala" se envolver uma grande quantidade de dados, uma grande quantidade de indivíduos ou se estender por uma ampla área geográfica.

A norma ainda prevê que a Autoridade Nacional de Proteção de Dados (ANPD) tem a capacidade de publicar orientações para auxiliar os agentes de tratamento na avaliação de incidentes que possam acarretar risco ou dano relevante ao titular. Essas orientações podem fornecer uma visão mais clara sobre o que constitui um incidente de segurança significativo e como os agentes de tratamento devem responder adequadamente quando ocorrem tais incidentes.

Já sobre o processo e os requisitos para a comunicação de um incidente de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD), a norma diz que o controlador (a parte responsável pelo tratamento dos dados pessoais) deve notificar a ANPD no prazo de três dias úteis após tomar conhecimento do incidente de segurança, sendo que essa obrigação se aplica quando o incidente pode resultar em risco ou dano relevante aos titulares dos dados afetados.

A comunicação à ANPD deve conter as seguintes informações:

1) A descrição da natureza e da categoria de dados pessoais afetados.

2) O número de titulares afetados, incluindo, quando aplicável, o número de crianças, adolescentes ou idosos.

3) As medidas de segurança adotadas antes e após o incidente para a proteção dos dados pessoais.

4) Os riscos associados ao incidente e a identificação dos possíveis impactos aos titulares.

5) Se aplicável, os motivos para a comunicação do incidente não ter sido realizada no prazo.

6) As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares.

7) A data e a hora em que o incidente de segurança foi descoberto.

8) Os dados de contato do encarregado (se aplicável) ou do comunicante, juntamente com qualquer documentação que demonstre que ele tem autorização para representar o controlador junto à ANPD.

9) Dados de identificação do controlador e, se aplicável, declaração de que é um agente de tratamento de pequeno porte.

10) Informações sobre o operador (se aplicável).

11) Declaração confirmando que a comunicação aos titulares foi feita de acordo com o regulamento.

12) Uma descrição do incidente, incluindo a causa principal, se possível identificá-la.

13) O total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.

Essas informações ajudam a ANPD a entender melhor a natureza do incidente e a extensão potencial do impacto nos titulares dos dados.

Em circunstâncias excepcionais, o controlador tem o direito de complementar as informações em até 20 dias úteis após tomar conhecimento do incidente. Este período pode ser prorrogado uma vez, por um período igual, mediante solicitação fundamentada à ANPD.

O artigo também esclarece que a comunicação do incidente de segurança deve ocorrer por meio de um formulário eletrônico fornecido pela ANPD, e obviamente de que a comunicação não será aceita se for apresentada por alguém que não tenha legitimidade para fazê-lo.

Se o controlador for representado por um advogado, este poderá comunicar o incidente sem procuração, mas deve apresentá-la dentro de 15 dias úteis após a comunicação. Se a procuração não for apresentada, a comunicação não será admitida.

A ANPD tem o poder de investigar a ocorrência de um incidente de segurança, mesmo se a comunicação do incidente for inadmissível. Além disso, a ANPD pode iniciar um processo administrativo para avaliar o descumprimento da norma.

Os agentes de tratamento de pequeno porte têm um prazo dobrado para comunicar um incidente de segurança à ANPD, conforme estabelecido na Lei Geral de Proteção de Dados Pessoais (LGPD) e na Resolução CD/ANPD nº 2 de janeiro de 2022.

O controlador pode solicitar à ANPD que mantenha em sigilo informações protegidas por lei, como aquelas que poderiam revelar segredos comerciais ou industriais se divulgadas.

A ANPD tem o direito de solicitar informações adicionais ao controlador a qualquer momento, incluindo o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente.

Queria reforçar a importância da transparência e da responsabilidade na resposta a incidentes de segurança, garantindo que a ANPD esteja totalmente informada sobre o incidente e as medidas tomadas em resposta.

O controlador também deve informar o titular de um incidente de segurança com dados pessoais no prazo de três dias úteis após tomar conhecimento do incidente, caso este possa causar risco ou dano relevante ao titular. A comunicação deve incluir:

1) A descrição da natureza e da categoria dos dados pessoais afetados.

2) Os riscos ou impactos para o titular.

3) As medidas tomadas ou que serão tomadas para reverter ou mitigar os efeitos do incidente.

4) A data em que o incidente de segurança foi descoberto.

5) Informações de contato para obter mais informações e os dados do encarregado, quando aplicável.

A comunicação ao titular deve ser realizada em linguagem simples e de fácil compreensão e deve ser feita diretamente e de forma individualizada, se possível. A comunicação direta e individualizada pode ser realizada através dos meios habitualmente utilizados pelo controlador para entrar em contato com o titular, como: telefone, e-mail, mensagem eletrônica ou carta.

Caso a comunicação direta e individualizada não seja viável ou caso não seja possível determinar os titulares afetados, o controlador deve comunicar o incidente através dos meios de divulgação disponíveis, como a página na internet, aplicativos, mídias sociais e canais de atendimento ao titular. Esta comunicação deve ser amplamente acessível e facilmente visível por pelo menos seis meses.

Se a primeira comunicação do controlador não contiver todas as informações necessárias ou se tiver utilizado meios inadequados, a ANPD pode exigir que o controlador faça uma nova comunicação. Além disso, a ANPD pode exigir que o controlador informe o titular sobre o incidente de segurança se a comunicação inicial não tiver sido realizada.

Incluir na comunicação ao titular recomendações que possam ajudar a minimizar os efeitos do incidente pode ser considerado uma boa prática, e mais uma vez os agentes de pequeno porte têm um prazo dobrado para comunicar um incidente de segurança ao titular.

O controlador também é obrigado a manter um registro de todos os incidentes de segurança com dados pessoais, mesmo aqueles que não foram notificados à ANPD ou aos titulares, por um período mínimo de cinco anos a partir da data do registro. Contudo, se houver obrigações adicionais que exijam um prazo maior de manutenção, estas deverão ser observadas.

O registro de incidentes deve conter, no mínimo:

1) A data em que o incidente foi conhecido.

2) Uma descrição geral das circunstâncias do incidente.

3) A natureza e a categoria dos dados afetados.

4) O número de titulares afetados.

5) A avaliação dos riscos e possíveis danos aos titulares.

6) As medidas corretivas e de mitigação dos efeitos do incidente, quando aplicável.

7) A forma e o conteúdo da comunicação, caso o incidente tenha sido comunicado à ANPD e aos titulares.

8) As razões para a falta de comunicação, se aplicável.

A ANPD tem o direito de realizar auditorias ou inspeções, ou determinar a sua realização, para coletar informações complementares ou validar as informações recebidas.

Dependendo da gravidade do incidente, a ANPD pode exigir que o controlador tome medidas adicionais para proteger os direitos dos titulares dos dados, tais como:

1) Divulgar amplamente o incidente nos meios de comunicação.

2) Tomar medidas para reverter ou mitigar os efeitos do incidente.

As medidas para reverter ou mitigar os efeitos do incidente devem garantir sempre a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, além de minimizar os efeitos do incidente para os titulares de dados.

Para terminar o processo de comunicação de um incidente de segurança com dados pessoais pode ser declarado extinto em determinadas situações:

1) No final do procedimento de apuração de incidente de segurança, se:

1.A) A ANPD não identificar evidências suficientes da ocorrência do incidente, mas com a ressalva de que o caso pode ser reaberto se surgirem novos fatos;

1.B) A ANPD considerar que o incidente não tem potencial para causar risco ou dano relevante aos titulares de dados;

1.C) O incidente não envolver dados pessoais.

2) Durante o procedimento de comunicação de incidente de segurança, se:

2.A) A ANPD considerar que o incidente não apresenta risco ou dano relevante aos titulares de dados;

2.B) Não forem necessárias medidas adicionais para mitigar ou reverter os efeitos gerados pelo incidente.

É importante notar que mesmo com a decisão de extinguir o processo de comunicação do incidente de segurança com dados pessoais, a ANPD ainda pode determinar a adoção de medidas de segurança para proteger os direitos dos titulares de dados.

Para quem quer ir mais a fundo podem ter acesso a minuta completa com todos os detalhes em:

https://www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais/Minuta_Regulamento_CIS._CD._semmarcas2.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante