Pular para o conteúdo
Compliance MSPA

Dado Pessoal Afetado

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

É qualquer Dado Pessoal que tenha sido exposto, acedido, perdido, roubado ou comprometido durante um Incidente de Segurança.

Simplificando, é a informação específica dos Titulares que “vazou” ou foi comprometida. Não é o Banco de Dados inteiro, mas sim os registos individuais que foram de facto afetados.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A ANPD define o termo no contexto da Comunicação de Incidente de Segurança. É o “dado pessoal objeto do incidente de segurança comunicado à ANPD e aos titulares”.

A identificação clara de quais dados foram afetados e de quantos titulares foram atingidos é um passo obrigatório na avaliação da gravidade de um incidente.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Num ataque de ransomware: A base de dados de clientes (com nomes, CPFs e telefones) que foi copiada e publicada pelos criminosos.

  • Num erro humano: A planilha com a folha de pagamento (nomes, cargos e salários) enviada acidentalmente para o e-mail errado. Os dados nessa planilha são os “dados pessoais afetados”.

  • Numa falha de sistema: Uma falha numa área de login que expôs os nomes de utilizador e senhas de 500 clientes.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é subestimar o que é “afetado”. Muitas empresas focam-se apenas em dados “críticos” (como CPF ou cartão de crédito) e ignoram o resto. Para a LGPD, se uma lista de e-mails ou até mesmo nomes simples de clientes for vazada, esses são “dados pessoais afetados” e o incidente deve ser tratado, pois pode gerar risco (ex: envio de phishing direcionado).

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A natureza (quais dados) e o volume (quantos titulares) dos dados pessoais afetados são dois dos principais critérios que a ANPD utiliza para avaliar a gravidade de um incidente. É com base nessa análise que se decide se o incidente precisa ser comunicado publicamente e qual será o tamanho da sanção aplicada.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Comunicação de Incidente de Segurança

  • Dado Pessoal

  • Titular

  • Violação de Dados (Termo sinónimo, muito usado no GDPR)