ANPD – Comunicação de Incidentes de Segurança e Dados Pessoais


Marco Tulio Castro
Advogado
18 de Janeiro de 2023 12:22
  • Enviar por e-mail
    Enviar por e-mail
    Para múltiplos destinatários separe os e-mails por vírgula.
  • Salvar em PDF

A Autoridade Nacional de Proteção de Dados – ANPD divulgou um novo formulário para comunicação de incidentes de segurança pelos controladores, que deverá ser utilizado a partir de 1o de janeiro de 2023.

Os incidentes de segurança devem ser comunicados à ANPD e aos titulares de dados pessoais sempre que existir risco ou dano relevante aos titulares. A ANPD apresenta alguns exemplos de incidentes capazes de gerar risco ou dano relevante aos titulares:

a) A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.

b) A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.

c) A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.

Os seguintes fatores devem ser considerados na avaliação de risco de um incidente com dados pessoais, segundo a ANPD:

  • o contexto da atividade de tratamento de dados;
  • as categorias e quantidades de titulares afetados;
  • os tipos e quantidade de dados violados;
  • os potenciais danos materiais, morais, reputacionais causados aos titulares;
  • se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
  • as medidas de mitigação adotadas pelo controlador após o incidente.

Os incidentes devem ser comunicados o mais rapidamente possível, em até 2 (dois) dias úteis, conforme orientação da ANPD.

Acesse o formulário ou esclareça dúvidas sobre o procedimento de comunicação de incidentes de segurança em https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis