Pular para o conteúdo
Compliance MSPA

Procedimento De Apuracao De Incidente De Seguranca

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

É o “manual de instruções” ou o passo a passo formal que uma empresa deve seguir imediatamente após suspeitar ou descobrir um Incidente de Segurança.

Este documento define quem faz o quê, quem deve ser avisado (como o Encarregado (DPO)) e como o incidente deve ser investigado (apurado) para entender o que aconteceu, a sua gravidade, quais dados foram afetados e o tamanho do estrago.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A ANPD define como um “procedimento interno que visa à apuração da ocorrência, da natureza, da categoria de dados afetados e da causa do Incidente de Segurança, bem como à avaliação dos riscos e dos danos causados aos titulares ou que possam vir a ser.” (Fonte: Resolução CD/ANPD nº 1/2021)

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Um funcionário do TI recebe um alerta de acesso indevido. Ele segue o procedimento: 1. Isola a máquina da rede. 2. Notifica o Encarregado (DPO). 3. O DPO e o TI analisam os logs (registos) para ver se dados de clientes foram acedidos. 4. O DPO avalia se o risco é relevante.

  • Um colaborador do RH reporta que enviou um e-mail com dados de funcionários para a pessoa errada. O procedimento de apuração é iniciado para: 1. Confirmar quem recebeu. 2. Tentar apagar o e-mail (se possível). 3. Analisar a Natureza dos Dados que vazaram (ex: salário, CPF).

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é “deixar para criar o procedimento na hora do caos”. Quando um incidente acontece, a equipa entra em pânico. Sem um procedimento claro, a resposta é lenta, desordenada, provas (logs) são perdidas e a empresa pode falhar em fazer a Comunicação de Incidente de Segurança à ANPD no prazo legal. Este procedimento tem de existir e ser treinado antes do incidente.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A LGPD (Art. 48, § 1º) menciona que a Comunicação de Incidente de Segurança à ANPD deve conter, no mínimo, a “descrição da natureza dos Dados Pessoais Afetados”. É impossível fornecer essa descrição se a empresa não tiver um procedimento de apuração rápido e eficaz para descobrir quais dados foram afetados.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Comunicação de Incidente de Segurança

  • Incidente com Risco ou Dano Relevante

  • Encarregado (DPO)

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Medidas de Segurança

  • Plano de Conformidade