Pular para o conteúdo
Compliance MSPA

Procedimento De Comunicacao De Incidente De Seguranca

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

Se o Procedimento de Apuração é o manual para investigar um incidente internamente, este é o manual para comunicar o incidente externamente.

É o passo a passo formal que define quando, como e quem deve notificar a ANPD (Autoridade Nacional de Proteção de Dados) e os Titulares afetados, caso o incidente apresente um risco ou dano relevante.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A ANPD define como o “conjunto de ações estabelecidas para comunicar à ANPD e ao Titular a ocorrência de Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares.” (Fonte: Resolução CD/ANPD nº 1/2021)

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Após a apuração de um ransomware, o Encarregado (DPO) conclui que dados de clientes (nome, CPF, morada) vazaram e há risco relevante.

  • O DPO ativa o procedimento de comunicação:

    1. Preenche o formulário oficial de “Comunicação de Incidente de Segurança” no sistema da ANPD, respeitando o prazo legal (ex: 3 dias úteis após o conhecimento do incidente).

    2. Prepara um Aviso claro para os Titulares afetados, explicando o que aconteceu, os riscos e as medidas que podem tomar (ex: monitorizar extratos bancários).

    3. Define o canal de envio (ex: e-mail ou Ampla Divulgação).

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é a “paralisia por análise”. A empresa fica tanto tempo no Procedimento de Apuração (a tentar descobrir todos os detalhes) que perde o prazo legal para a comunicação inicial à ANPD. A comunicação inicial pode ser complementada depois, mas a notificação em si precisa ser rápida.

Outro erro é a comunicação confusa ao titular (com “juridiquês” ou minimizando o risco), o que quebra a confiança e viola o Princípio da Transparência.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A LGPD (Art. 48) define a obrigação de comunicar à ANPD e aos Titulares “em prazo razoável”. A ANPD regulamentou este prazo, estabelecendo 3 dias úteis, contados da data de conhecimento do incidente, para a comunicação à Autoridade. O prazo para comunicar ao titular não é fixo, mas deve ocorrer “logo que possível” após a comunicação à ANPD.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Procedimento de Apuração de Incidente de Segurança

  • Incidente com Risco ou Dano Relevante

  • Comunicação de Incidente de Segurança

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Titular

  • Encarregado (DPO)

  • Aviso

  • Ampla Divulgação do Incidente em Meios de Comunicação