A ANPD submeteu à consulta pública proposta de Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais

​A ANPD ao publicar a proposta de Regulamento abriu prazo até dia 31 de maio de 2023 para o recebimento de comentários por parte da sociedade (“Consulta Pública”). Ao término da Consulta Pública, o Regulamento e as contribuições públicas seguirão o trâmite regulamentar da ANPD para posteriormente entrar em vigor.

Sumarizamos os principais pontos do Regulamento, porém, antes de apresentá-los, destacamos que comunicações sobre a ocorrência de incidentes já são exigidas pela ANPD independentemente de o Regulamento ainda não estar em vigor. Para orientações vigentes sobre comunicações, veja o site da ANPD: Comunicação de incidente de segurança — Autoridade Nacional de Proteção de Dados (www.gov.br).

A seguir, sumário do Regulamento que está sob Consulta Pública:

  •  O que são “Incidentes de Segurança”?

 São eventos adversos confirmados que violem a confidencialidade, integralidade, autenticidade ou disponibilidade de um dado pessoal.

  • Todo Incidente de Segurança deve ser comunicado à ANPD e aos titulares?

Não. Devem ser comunicados Incidentes de Segurança que possam causar risco ou dano relevante ao titular.

  • O que significa risco ou dano relevante?

Um Incidente de segurança que:

  1. tiver potencial de afetar significativamente
    interesses e direitos fundamentais dos titulares:  impedir ou limitar o exercício de direitos ou
    a utilização de um serviço ou ocasionar danos materiais ou morais aos
    titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade;  e, cumulativamente,

  2. envolver pelo menos um dos seguintes: dados sensíveis; dados de crianças, adolescentes ou idosos; dados financeiros; dados de autenticação dos sistemas; ou dados em larga escala.

  • Qual o prazo de comunicação de um Incidente de Segurança?

É previsto o prazo de 3 dias úteis do conhecimento sobre o Incidente de Segurança. A comunicação poderá ser excepcionalmente complementada em até 20 dias úteis, a contar do momento em que o controlador tomou conhecimento do Incidente de Segurança, prorrogável por uma vez, por igual período, mediante solicitação fundamentada à ANPD.

Agentes de pequeno porte, assim definidos pela  Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, poderão ter prazo em dobro.  

  • As comunicações à ANPD e ao titulares devem ser iguais?

Não, a ANPD propõe que a comunicação aos titulares seja simples e de fácil compreensão pelo titular afetado. A ANPD espera que o titular seja informado sobre os dados pessoais afetados, os riscos/impactos ao titular, as medidas que foram adotadas e canal de contato com o encarregado.

Por sua vez, a comunicação à ANPD tem caráter técnico e detalhado. De forma geral, a ANPD propõe que, além do informado ao titular, o controlador a informe sobre: o número de titulares afetados; eventuais motivos da comunicação não ter sido realizada no prazo; a data e a hora do conhecimento do incidente; os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte; as informações sobre o operador, quando aplicável; a declaração de que foi realizada a comunicação aos titulares; a descrição do incidente; e o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.

  • O controlador deve manter registro dos Incidentes de Segurança?

Sim, a ANPD espera que o controlador mantenha registro dos incidentes ocorridos pelo prazo de 5 anos, inclusive dos incidentes que não foram comunicados à ANPD e aos titulares. O prazo somente não é aplicável para entidades públicas que observam prazo específico definido pelo Conselho Nacional de Arquivos.

  •  A ANPD poderá exigir a adoção de medidas pelo controlador para prezar pelos direitos dos titulares?

Sim, como medidas preventivas, as quais a ANPD indica que não se confundem com sanções administrativas, a ANPD poderá ao analisar a comunicação do Incidente de Segurança determinar a ampla divulgação do incidente em meios de comunicação (em especial quando a comunicação feita pelo controlador se mostrar insuficiente) ou a adoção de medidas para reverter ou mitigar os efeitos do incidente.

A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los com quaisquer questões relacionadas a proteção de dados.

Para acessar o Regulamento sobre Comunicação de Incidente de Segurança com Dados Pessoais da ANPD, clique aqui.

Este boletim apresenta um resumo de alterações legislativas ou decisões judiciais e administrativas no Brasil. Destina-se aos clientes e integrantes do Cescon, Barrieu, Flesch & Barreto Advogados. Este boletim não tem por objetivo prover aconselhamento legal sobre as matérias aqui tratadas e não deve ser interpretado como tal.

Compartilhe este post
Receba conteúdos de especialistas do nosso Centro de Inteligência
Inscreva-se

Leia também

STF valida homologação de partilha em arrolamento sumário sem recolhimento de imposto de transmissão prévio
ANM publica sua primeira Súmula, fixando os prazos prescricionais e decadenciais de cobrança da CFEM
Inteligência Artificial e as Trends do Studio Ghibli e Turma da Mônica: Inspiração ou Infração?
Newsletter Energia – Março/2025
Tech News – Março de 2025
Sancionada Lei de Reciprocidade com autorização de medidas reativas a tarifas e barreiras comerciais
Open Energy: um novo capítulo para a digitalização e concorrência no setor elétrico
PGFN dispõe sobre a transação de créditos judicializados de alto impacto econômico
Nova Resolução do CMN e as novas regras para Entidades Fechadas de Previdência Complementar
Município do Rio de Janeiro institui transação por adesão para fomentar a quitação de débitos de ISS
Novos critérios para Enquadramento de Projetos Prioritários para o Setor de Mobilidade Urbana
Município de São Paulo regulamenta a atualização da Operação Urbana Consorciada Faria Lima e anuncia novo leilão de CEPACs
Projeto de Lei propõe aumento na faixa de isenção do Imposto de Renda e tributação mínima para altas rendas
Newsletter Energia – Fevereiro/2025
Edital PGDAU nº 4/2025 estabelece regras de transação tributária
TJGO determina que o IPTU do loteamento só é devido após a emissão do TVEO
Possível extinção do PERSE e seus desdobramentos
STJ autoriza penhora de imóvel com alienação fiduciária em garantia para quitação de dívida condominial
Projeto de Lei do Rio de Janeiro propõe novas regras para locação por curta temporada via plataformas digitais
Consulta Pública n.º 117/2025: Proposta de regras para denominação de instituições reguladas

Receba conteúdos de especialistas
do nosso Centro de Inteligência

Inscreva-se
Facebook Instagram Linkedin Youtube
© 2025 Cescon. Todos os direitos reservados.
Política de Privacidade
Termos de Serviço

O Cescon Barrieu alerta que todas as suas comunicações oficiais são realizadas exclusivamente por e-mails corporativos com o domínio @cesconbarrieu.com.br. Caso receba tentativas de contato em nome do escritório por WhatsApp ou via e-mail de um domínio diferente, seja para negociação, solicitação de informações ou envio de boletos, ignore a mensagem

Centro de Inteligência