Pular para o conteúdo
Compliance MSPA

Relatorio De Tratamento De Incidente

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

É o documento interno que a empresa (o Controlador) prepara depois que um Incidente de Segurança acontece. Ele serve como um “diário de bordo” ou uma “autópsia” do incidente, registando formalmente tudo o que aconteceu:

  • A descrição do incidente (o que, quando, onde);

  • A análise de risco (o Grau do Dano, os Grupos Afetados);

  • As ações tomadas (a Comunicação de Incidente à ANPD e aos titulares, se necessária);

  • As Medidas Corretivas adotadas.

É a prova formal de que a empresa tratou o incidente de forma diligente.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

O Regulamento de Comunicação de Incidentes de Segurança (Resolução CD/ANPD nº 1/2021) estabelece que, mesmo nos casos em que um incidente não é comunicado à ANPD (por não ter risco relevante), o Controlador deve “manter o registro da ocorrência” (Art. 9º, § 2º).

Este registro é o Relatório de Tratamento de Incidente, que deve conter as informações mínimas de análise, mesmo que simplificado.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Um funcionário envia acidentalmente um e-mail com dados de 50 clientes para um destinatário errado.

  • O DPO (Encarregado) é notificado, inicia o Procedimento de Apuração e conclui que o risco não é relevante (o destinatário é conhecido, confirmou que apagou o e-mail, etc.).

  • A empresa decide não comunicar à ANPD.

  • Neste ponto, o DPO deve elaborar o Relatório de Tratamento de Incidente, registando: a data, a descrição do incidente, a análise de risco que justificou a não comunicação e as Medidas Corretivas (ex: treinar o funcionário sobre o uso de e-mail).

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais comum é achar que este relatório só é necessário se o incidente for grave ou se for comunicado à ANPD. Isso está incorreto. A Resolução exige o registro de todas as ocorrências, mesmo as de baixo risco que não são comunicadas.

Este relatório é a sua principal (e às vezes única) prova, durante uma Fiscalização, para justificar por que você decidiu não comunicar um incidente à autoridade.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

Este relatório é uma peça-chave do Princípio da Responsabilização e Prestação de Contas. A ANPD pode solicitar cópias desses relatórios internos a qualquer momento durante uma Fiscalização para avaliar a maturidade do Programa de Governança em Privacidade (PGP) da empresa e a sua seriedade na gestão de incidentes.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Comunicação de Incidente de Segurança

  • Procedimento de Apuração de Incidente de Segurança

  • Princípio da Responsabilização e Prestação de Contas

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Fiscalização

  • DPO (Encarregado)