Pular para o conteúdo
Compliance MSPA

Incidente De Seguranca Que Possa Acarretar Risco Ou Dano Relevante

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

Este é o termo legal que a LGPD usa para definir o nível de gravidade de um Incidente de Segurança que o torna de notificação obrigatória à ANPD e aos Titulares.

Não é qualquer incidente (como a perda temporária de um sistema), mas sim um que tenha o potencial real de causar prejuízo financeiro, discriminação, fraude, constrangimento ou dano à reputação das pessoas afetadas.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

Este é o critério exato estabelecido no Art. 48 da LGPD para acionar a obrigação de Comunicação de Incidente de Segurança à ANPD e, potencialmente, aos Titulares.

A lei exige que o Controlador comunique a ocorrência de “incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

A avaliação se o risco é “relevante” depende da análise de cada caso:

  • [+] Quase Sempre Relevante (Deve Comunicar):

    • Vazamento de Dados Pessoais Sensíveis (ex: diagnósticos médicos, filiação sindical).

    • Exposição de Dados Financeiros ou Dados de Autenticação (ex: senhas, números de cartão).

    • Qualquer incidente que afete Grupos Afetados vulneráveis (como crianças ou idosos).

  • [-] Geralmente Não Relevante (Pode Não Comunicar):

    • Um incidente em que os dados vazados estavam fortemente criptografados e as chaves de criptografia não foram comprometidas.

    • Um incidente interno (ex: envio de e-mail errado) que foi imediatamente contido (ex: e-mail apagado pelo destinatário antes da leitura, com evidências).

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O equívoco mais grave é o Controlador decidir, sem uma análise técnica e jurídica documentada, que um incidente “não teve risco relevante” apenas para evitar o desgaste da comunicação.

A ANPD pode (e irá) questionar essa avaliação. A falta de uma análise de risco formal e documentada após um incidente é, por si só, uma falha grave de governança e Princípio da Responsabilização.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A responsabilidade de avaliar e provar se o risco era ou não “relevante” é inteiramente do Controlador. A ANPD não precisa provar que o risco existiu; o Controlador é quem deve provar que ele não existiu ou que foi insignificante. Por isso, a criação de uma matriz de risco e um Plano de Resposta a Incidentes (PRI) é fundamental.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Comunicação de Incidente de Segurança

  • Grau do dano

  • Risco

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Controlador

  • Titular