ANPD – Comunicação de Incidentes de Segurança e Dados Pessoais

Marco Tulio Castro
Marco Tulio Castro
Advogado
18 de Janeiro de 2023 12:22
  • Enviar por e-mail
    Enviar por e-mail
    Para múltiplos destinatários separe os e-mails por vírgula.
  • Salvar em PDF

A Autoridade Nacional de Proteção de Dados – ANPD divulgou um novo formulário para comunicação de incidentes de segurança pelos controladores, que deverá ser utilizado a partir de 1o de janeiro de 2023.

 

Os incidentes de segurança devem ser comunicados à ANPD e aos titulares de dados pessoais sempre que existir risco ou dano relevante aos titulares. A ANPD apresenta alguns exemplos de incidentes capazes de gerar risco ou dano relevante aos titulares:

 

a) A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais.

 

b) A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde.

 

c) A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.

 

Os seguintes fatores devem ser considerados na avaliação de risco de um incidente com dados pessoais, segundo a ANPD:

 

  • o contexto da atividade de tratamento de dados; 
  • as categorias e quantidades de titulares afetados; 
  • os tipos e quantidade de dados violados; 
  • os potenciais danos materiais, morais, reputacionais causados aos titulares; 
  • se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares; 
  • as medidas de mitigação adotadas pelo controlador após o incidente. 

 

Os incidentes devem ser comunicados o mais rapidamente possível, em até 2 (dois) dias úteis, conforme orientação da ANPD.

 

Acesse o formulário ou esclareça dúvidas sobre o procedimento de comunicação de incidentes de segurança em https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis

Comentários
Assespro-RJ

Praça Pio X, 55 - Sala 901
Cep 20040-020 - Rio de Janeiro / RJ        

+55 21 2507-7181

equipe-assespro@assespro.rio

Federação Assespro

SRTVS Qd. 701, Bloco A, Salas 829-831
Cep 70340-907 – Brasília/DF

+55 61 3201-0932

staff@assespro.org.br

Sobre a Assespro-RJ

A Assespro-RJ é a associação empresarial do segmento de tecnologia, inovação e empreendedorismo com maior abrangência e penetração de mercado no Brasil. 

Nosso objetivo é proporcionar um ambiente de negócios e prosperidade para os associados, seus clientes e parceiros, e apoiar institucionalmente o desenvolvimento do nosso setor, com foco nacional e internacional.      

       © 2023 Assespro-RJ