Pular para o conteúdo
Compliance MSPA

Comunicacao De Incidente De Seguranca

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

É o ato formal de notificar a ANPD (Autoridade Nacional de Proteção de Dados) e, em certos casos, os próprios Titulares de dados (as pessoas afetadas) sobre a ocorrência de um Incidente de Segurança que possa causar risco ou dano relevante.

Não é apenas “avisar”, mas sim um processo regulado com prazos e conteúdos mínimos obrigatórios.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD (Art. 48) determina que o Controlador deve comunicar à ANPD e ao Titular a ocorrência de Incidente de Segurança que possa acarretar “risco ou dano relevante aos titulares”.

A Resolução CD/ANPD nº 1/2021 detalha este processo, estabelecendo o prazo de 3 dias úteis (a contar da data de conhecimento do incidente) para a comunicação à ANPD.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Um ataque de ransomware vaza a base de clientes de um e-commerce. A empresa (Controladora) deve comunicar à ANPD em até 3 dias úteis e notificar os clientes afetados.

  • Um funcionário do RH envia acidentalmente uma planilha com dados de saúde de funcionários para um destinatário externo. A empresa deve avaliar o risco; sendo alto (por envolver Dado Pessoal Sensível), deve comunicar à ANPD e aos funcionários.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é demorar para comunicar por tentar primeiro resolver 100% do incidente. A lei exige que a comunicação à ANPD seja feita em 3 dias úteis após o conhecimento do incidente, mesmo que a investigação interna ainda não esteja concluída.

Outro erro é achar que qualquer incidente deve ser comunicado. A obrigação existe apenas para aqueles com potencial de “risco ou dano relevante”. Uma boa governança (como o MSPA Compass) ajuda a fazer essa avaliação de risco rapidamente.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A comunicação ao Titular (à pessoa afetada) não precisa ser individual. Se o incidente for de grande escala ou se for impossível identificar todos os afetados, a ANPD pode autorizar que a comunicação seja feita por “ampla divulgação em meios de comunicação”, como uma nota pública no site da empresa.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Titular

  • Controlador

  • Ampla Divulgação do Incidente em Meios de Comunicação