Pular para o conteúdo
Compliance MSPA

Incidente Com Dados Em Larga Escala

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

Um “Incidente com dados em larga escala” é um Incidente de Segurança que afeta um número muito grande de pessoas (geralmente na casa das dezenas ou centenas de milhares) ou envolve um volume massivo de Dados Pessoais.

Não há um número exato que defina a “larga escala”; a ANPD avalia o contexto, o volume e o potencial de dano caso a caso.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD não define “larga escala” por um número fixo. No entanto, este é um critério central usado pela ANPD para medir a gravidade de um Incidente de Segurança e o Grau do Dano (Art. 48, § 1º, IV).

É um dos principais fatores que levam a ANPD a determinar a Ampla Divulgação do Incidente e é considerado um fator agravante na aplicação de sanções.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • O vazamento da base de dados completa de um e-commerce nacional, expondo dados de milhões de clientes.

  • Um ataque de ransomware que expõe os registos de pacientes de uma rede de hospitais com atuação em vários estados.

  • A exposição pública de dados de login e senha de todos os utilizadores de uma rede social ou aplicação popular.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O equívoco mais grave é pensar que “larga escala” é o único fator que define a gravidade de um incidente. Um incidente pode não ser de larga escala (ex: afetar apenas 50 pessoas), mas ser considerado gravíssimo se:

  1. Envolver Dados Pessoais Sensíveis (ex: o diagnóstico de HIV desses 50 pacientes).

  2. Afetar um Grupo Afetado vulnerável (ex: crianças ou idosos).

A gravidade é uma combinação do volume de pessoas afetadas, da natureza dos dados e do potencial de dano aos titulares.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

O conceito de “larga escala” também é usado para definir se uma empresa precisa ou não de um Encarregado (DPO). Empresas que realizam Tratamento de Dados Pessoais em Larga Escala (mesmo fora de um incidente) geralmente não se qualificam para a dispensa de nomeação de DPO, mesmo que se enquadrem como Agentes de Tratamento de Pequeno Porte.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Tratamento de Dados Pessoais em Larga Escala

  • Comunicação de Incidente de Segurança

  • Grau do dano

  • Ampla Divulgação do Incidente em Meios de Comunicação

  • ANPD (Autoridade Nacional de Proteção de Dados)