ANPD aprova o Regulamento de Comunicação de Incidente de Segurança

​O Regulamento traz regras a serem adotadas pelos agentes regulados em caso de incidentes de segurança da informação (“Incidentes”) que envolvam dados pessoais para: (i) mitigar ou reverter prejuízos gerados por Incidentes, (ii) assegurar a responsabilização e a prestação de contas, (iii) promover a adoção de boas práticas de governança, a prevenção e segurança e; (iv) fortalecer a cultura de proteção de dados pessoais no País.

Entre as principais disposições do Regulamento, destacam-se as seguintes:

– Prazos para comunicação de Incidentes:

  • Comunicação à ANPD: a comunicação de Incidente à ANPD deverá ser realizada pelo controlador dos dados pessoais no prazo de 3 (três) dias úteis, contados do conhecimento, pelo controlador, de que o Incidente afetou dados pessoais.

  • Comunicação aos titulares: de igual modo, a comunicação de Incidente aos titulares afetados deverá ser realizada no mesmo prazo previsto para comunicação à ANPD e deve se dar de forma direta e individualizada (por telefone, e-mail, mensagem, carta ou outros meios similares) quando for possível identificá-los. Não sendo possível identificar os titulares afetados, a comunicação deve se dar por meio que permita o amplo e fácil conhecimento, como o sítio eletrônico do controlador, aplicativos, mídias sociais e canais de atendimento aos titulares, pelo período mínimo de 3 (três) meses.

ATENÇÃO: O prazo de notificação começa a contar da descoberta do Incidente pelo controlador e não da definição sobre a probabilidade de o Incidente causar danos relevantes.

  • Informações Mínimas da Comunicação: Em linha com o que já vinha sido recomendado pela ANPD, o Regulamento prevê que comunicação deve conter minimamente: (i) a descrição da natureza e da categoria de dados pessoais afetados; (ii) o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos; (iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o Incidente, observados os segredos comercial e industrial; (iv) os riscos relacionados ao Incidente com identificação dos possíveis impactos aos titulares; (v) os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no caput deste artigo; (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do Incidente sobre os titulares; (vii) a data da ocorrência do Incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador; (viii) os dados do encarregado ou de quem represente o controlador; (ix) a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte; (x) a identificação do operador, quando aplicável; (xi) a descrição do Incidente, incluindo a causa principal, caso seja possível identificá-la; e (xii) o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo Incidente.

  • Complementação das informações: As informações poderão ser complementadas no prazo de 20 (vinte) dias úteis, a contar da data da comunicação.

A LGPD prevê que Incidentes que possam causar risco ou dano relevante aos titulares devem ser comunicados. Por se tratar de conceito amplo e subjetivo, o Regulamento trouxe parâmetros mais concretos para esta avaliação pelo controlador.

– Avaliação de risco ou dano relevante aos titulares: Um Incidente deve ser considerado capaz de causar risco ou dano relevante se puder “afetar de maneira significativa” os interesses e direitos fundamentais dos titulares e envolver:

  • Dados pessoais sensíveis;

  • Dados de crianças, adolescentes ou idosos;

  • Dados financeiros;

  • Dados de autenticação em sistemas;

  • Dados protegidos por sigilo legal, judicial ou profissional; ou

  • Dados em larga escala.

Como mencionado, a avaliação de risco ou dano relevante é composta pela combinação de pelo menos uma das condições acima listadas atrelada ao seu potencial de afetar de maneira significativa, ponto também explicado pelo regulamento:

  • Definição de “afetar de maneira significativa”: O Incidente deve ser considerado capaz de “afetar significativamente” os interesses e direitos fundamentais dos titulares cuja atividade de tratamento relacionada puder impedir o exercício de direitos ou a utilização de um serviço, pelos titulares, assim como causar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

  • Definição de larga escala: O Regulamento não estabelece definições quantitativas, mas sugere que um Incidente que impacta um grande número de titulares, considerando o volume, duração, frequência e extensão geográfica dos dados envolvidos, é classificado como de larga escala.

  • Registro do incidente: Os registros de Incidentes, inclusive daqueles não comunicados à ANPD e aos titulares, devem ser mantidos pelo controlador por no mínimo 5 (cinco) anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção. O documento pode ser solicitado pela ANPD a qualquer tempo

  • Aplicação do Regulamento a agentes de tratamento de pequeno porte: Os prazos de comunicação à ANPD e aos titulares serão contados em dobro para os agentes de tratamento de pequeno porte que comprovem, mediante apresentação de declaração, essa caracterização.

– Extinção do Processo de Comunicação de Incidente de Segurança: o Regulamento estabelece que o processo poderá ser extinto nas seguintes hipóteses:

  • ausências de provas suficientes do Incidente;

  • determinação, pela ANPD, de que o Incidente não possui potencial para acarretar risco ou dano relevante aos titulares;

  • determinação que o Incidente não afeta dados pessoais;

  • Implementação de todas as medidas adicionais para mitigar ou reverter os impactos; e

  • Envio de comunicação, pelo controlador,  aos titulares e tomada de todas as medidas necessárias de acordo com a LGPD, o Regulamento e as instruções da ANPD.

O descumprimento do Regulamento pode resultar em instauração de Processo Administrativo Sancionador.
Para acessar o Regulamento publicado pela ANPD mencionado neste Informa clique no link.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los em casos envolvendo incidentes de segurança.

Este boletim apresenta um resumo de alterações legislativas ou decisões judiciais e administrativas no Brasil. Destina-se aos clientes e integrantes do Cescon, Barrieu, Flesch & Barreto Advogados. Este boletim não tem por objetivo prover aconselhamento legal sobre as matérias aqui tratadas e não deve ser interpretado como tal.

Compartilhe este post
Receba conteúdos de especialistas do nosso Centro de Inteligência
Inscreva-se

Leia também

STF valida homologação de partilha em arrolamento sumário sem recolhimento de imposto de transmissão prévio
ANM publica sua primeira Súmula, fixando os prazos prescricionais e decadenciais de cobrança da CFEM
Inteligência Artificial e as Trends do Studio Ghibli e Turma da Mônica: Inspiração ou Infração?
Newsletter Energia – Março/2025
Tech News – Março de 2025
Sancionada Lei de Reciprocidade com autorização de medidas reativas a tarifas e barreiras comerciais
Open Energy: um novo capítulo para a digitalização e concorrência no setor elétrico
PGFN dispõe sobre a transação de créditos judicializados de alto impacto econômico
Nova Resolução do CMN e as novas regras para Entidades Fechadas de Previdência Complementar
Município do Rio de Janeiro institui transação por adesão para fomentar a quitação de débitos de ISS
Novos critérios para Enquadramento de Projetos Prioritários para o Setor de Mobilidade Urbana
Município de São Paulo regulamenta a atualização da Operação Urbana Consorciada Faria Lima e anuncia novo leilão de CEPACs
Projeto de Lei propõe aumento na faixa de isenção do Imposto de Renda e tributação mínima para altas rendas
Newsletter Energia – Fevereiro/2025
Edital PGDAU nº 4/2025 estabelece regras de transação tributária
TJGO determina que o IPTU do loteamento só é devido após a emissão do TVEO
Possível extinção do PERSE e seus desdobramentos
STJ autoriza penhora de imóvel com alienação fiduciária em garantia para quitação de dívida condominial
Projeto de Lei do Rio de Janeiro propõe novas regras para locação por curta temporada via plataformas digitais
Consulta Pública n.º 117/2025: Proposta de regras para denominação de instituições reguladas

Receba conteúdos de especialistas
do nosso Centro de Inteligência

Inscreva-se
Facebook Instagram Linkedin Youtube
© 2025 Cescon. Todos os direitos reservados.
Política de Privacidade
Termos de Serviço

O Cescon Barrieu alerta que todas as suas comunicações oficiais são realizadas exclusivamente por e-mails corporativos com o domínio @cesconbarrieu.com.br. Caso receba tentativas de contato em nome do escritório por WhatsApp ou via e-mail de um domínio diferente, seja para negociação, solicitação de informações ou envio de boletos, ignore a mensagem

Centro de Inteligência