{"id":11268,"date":"2025-07-09T19:36:51","date_gmt":"2025-07-09T22:36:51","guid":{"rendered":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/?p=11268"},"modified":"2026-03-03T13:33:18","modified_gmt":"2026-03-03T16:33:18","slug":"conheca-as-regras-para-comunicacao-de-incidente-de-seguranca-a-anpd","status":"publish","type":"post","link":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/conheca-as-regras-para-comunicacao-de-incidente-de-seguranca-a-anpd\/","title":{"rendered":"Conhe\u00e7a as Regras para Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a \u00e0 ANPD."},"content":{"rendered":"
\n

No dia 26 de abril de 2024, a ANPD divulgou uma nova norma que trata sobre a comunica\u00e7\u00e3o em caso de incidente de seguran\u00e7a da informa\u00e7\u00e3o envolvendo dados pessoais. Com a Resolu\u00e7\u00e3o CD\/ANPD n\u00b0 15\/2024, a Autarquia define termos importantes para auxiliar na tomada de decis\u00e3o relacionada a comunica\u00e7\u00e3o sobre incidentes de seguran\u00e7a da informa\u00e7\u00e3o, bem como apresenta os prazos e as formas do procedimento adequado, conforme esclarecemos adiante.<\/p>\n<\/blockquote>\n\n\n\n

1. Quando \u00e9 necess\u00e1rio comunicar um incidente que envolve dados pessoais?<\/h3>\n\n\n\n

Sempre que houver qualquer evento adverso confirmado, relacionado \u00e0 viola\u00e7\u00e3o da confidencialidade, integridade, disponibilidade e da autenticidade de dados pessoais que acarrete risco ou dano relevante aos titulares dos dados.<\/p>\n\n\n\n

2. O que \u00e9 considerado como risco ou dano relevante aos titulares dos dados?<\/h3>\n\n\n\n

Quando puder afetar significativamente interesses e direitos fundamentais dos titulares e envolver um dos seguintes crit\u00e9rios:<\/p>\n\n\n\n

a.       dados pessoais sens\u00edveis(1);<\/p>\n\n\n\n

b.       dados de crian\u00e7as, de adolescentes ou de idosos;<\/p>\n\n\n\n

c.       dados financeiros(2);<\/p>\n\n\n\n

d.       dados de autentica\u00e7\u00e3o em sistemas(3);<\/p>\n\n\n\n

e.       dados protegidos por sigilo legal, judicial ou profissional; ou<\/p>\n\n\n\n

f.       dados em larga escala(4).<\/p>\n\n\n\n

\u200d<\/p>\n\n\n\n

(1) Dado pessoal sobre origem racial ou \u00e9tnica, convic\u00e7\u00e3o religiosa, opini\u00e3o pol\u00edtica, filia\u00e7\u00e3o a sindicato ou a organiza\u00e7\u00e3o de car\u00e1ter religioso, filos\u00f3fico ou pol\u00edtico, dado referente \u00e0 sa\u00fade ou \u00e0 vida sexual, dado gen\u00e9tico ou biom\u00e9trico, quando vinculado a uma pessoa natural.<\/em><\/p>\n\n\n\n

(2) Dado pessoal relacionado \u00e0s transa\u00e7\u00f5es financeiras do titular, inclusive para contrata\u00e7\u00e3o de servi\u00e7os e aquisi\u00e7\u00e3o de produtos.<\/em><\/p>\n\n\n\n

(3) Qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identifica\u00e7\u00e3o de um usu\u00e1rio, como contas de login, tokens e senhas.<\/em><\/p>\n\n\n\n

(4) A ser definido pela ANPD.<\/em><\/p>\n\n\n\n

\u200d<\/p>\n\n\n\n

O incidente ser\u00e1 caracterizado, por exemplo, em situa\u00e7\u00f5es que a atividade de tratamento puder impedir o exerc\u00edcio de direitos ou a utiliza\u00e7\u00e3o de um servi\u00e7o, ocasionar danos materiais ou morais aos titulares, como discrimina\u00e7\u00e3o, viola\u00e7\u00e3o \u00e0 integridade f\u00edsica, ao direito \u00e0 imagem e \u00e0 reputa\u00e7\u00e3o, fraudes financeiras ou roubo de identidade.<\/p>\n\n\n\n

3. Como comunico o incidente \u00e0 ANPD e qual o prazo?<\/h3>\n\n\n\n

A comunica\u00e7\u00e3o de incidente de seguran\u00e7a dever\u00e1 ocorrer por meio de formul\u00e1rio eletr\u00f4nico disponibilizado pela ANPD e ser realizada pelo controlador, por meio do seu encarregado (DPO), bem como estar acompanhada do documento comprobat\u00f3rio de v\u00ednculo do DPO, ou por meio de representante constitu\u00eddo, acompanhada de procura\u00e7\u00e3o com poderes de representa\u00e7\u00e3o junto \u00e0 ANPD.<\/p>\n\n\n\n

Como regra geral, a comunica\u00e7\u00e3o deve ser realizada em at\u00e9 3 dias \u00fateis, a contar da data em que foi descoberto o incidente pelo Controlador. Se o controlador for considerado agente de pequeno porte, o prazo ser\u00e1 contado em dobro.<\/p>\n\n\n\n

4. O que deve conter no comunicado sobre o incidente?<\/h3>\n\n\n\n

Para a ANPD<\/strong><\/p>\n\n\n\n

I.             <\/strong>descri\u00e7\u00e3o da natureza e da categoria de dados pessoais afetados;<\/p>\n\n\n\n

II.           <\/strong>n\u00famero de titulares afetados, discriminando, quando aplic\u00e1vel, o n\u00famero de crian\u00e7as, de adolescentes ou de idosos;<\/p>\n\n\n\n

III.          <\/strong>medidas t\u00e9cnicas e de seguran\u00e7a utilizadas para a prote\u00e7\u00e3o dos dados pessoais, adotadas antes e ap\u00f3s o incidente, observados os segredos comercial e industrial;<\/p>\n\n\n\n

IV.          <\/strong>riscos relacionados ao incidente com identifica\u00e7\u00e3o dos poss\u00edveis impactos aos titulares;<\/p>\n\n\n\n

V.           <\/strong>motivos da demora, no caso da comunica\u00e7\u00e3o n\u00e3o ter sido realizada no prazo devido;<\/p>\n\n\n\n

VI.          <\/strong>medidas que foram ou que ser\u00e3o adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;<\/p>\n\n\n\n

VII.         <\/strong>data da ocorr\u00eancia do incidente, quando poss\u00edvel determin\u00e1-la, e a de seu conhecimento pelo controlador;<\/p>\n\n\n\n

VIII.       <\/strong>dados do encarregado ou de quem represente o controlador;<\/p>\n\n\n\n

IX.          <\/strong>identifica\u00e7\u00e3o do controlador e, se for o caso, declara\u00e7\u00e3o de que se trata de agente de tratamento de pequeno porte;<\/p>\n\n\n\n

X.           <\/strong>identifica\u00e7\u00e3o do operador, quando aplic\u00e1vel;<\/p>\n\n\n\n

XI.          <\/strong>descri\u00e7\u00e3o do incidente, incluindo a causa principal, caso seja poss\u00edvel identific\u00e1-la; e<\/p>\n\n\n\n

XII.         <\/strong>total de titulares cujos dados s\u00e3o tratados nas atividades de tratamento afetadas pelo incidente.<\/p>\n\n\n\n

Para os titulares<\/p>\n\n\n\n

I.             <\/strong>descri\u00e7\u00e3o da natureza e da categoria de dados pessoais afetados;<\/p>\n\n\n\n

II.           <\/strong>medidas t\u00e9cnicas e de seguran\u00e7a utilizadas para a prote\u00e7\u00e3o dos dados, observados os segredos comercial e industrial;<\/p>\n\n\n\n

III.          <\/strong>riscos relacionados ao incidente com a identifica\u00e7\u00e3o dos poss\u00edveis impactos aos titulares;<\/p>\n\n\n\n

IV.          <\/strong>motivos da demora, no caso de a comunica\u00e7\u00e3o n\u00e3o ter sido feita no prazo devido;<\/p>\n\n\n\n

V.           <\/strong>medidas que foram ou que ser\u00e3o adotadas para reverter ou mitigar os efeitos do incidente, quando cab\u00edveis;<\/p>\n\n\n\n

VI.          <\/strong>data do conhecimento do incidente de seguran\u00e7a; e<\/p>\n\n\n\n

VII.         <\/strong>contato para obten\u00e7\u00e3o de informa\u00e7\u00f5es e, quando aplic\u00e1vel, os dados de contato do encarregado.<\/p>\n\n\n\n

A comunica\u00e7\u00e3o com os titulares deve ser realizada em linguagem clara e de f\u00e1cil compreens\u00e3o, de forma direta e individualizada.<\/p>\n\n\n\n

Caso n\u00e3o seja poss\u00edvel individualizar o contato, o comunicado deve ser realizado em ambientes de amplo acesso, como site da empresa, app, redes sociais e canais de atendimento, por pelo menos 3 meses.<\/p>\n\n\n\n

5. E caso seja necess\u00e1rio mais prazo para maiores informa\u00e7\u00f5es?<\/h3>\n\n\n\n

As informa\u00e7\u00f5es poder\u00e3o ser complementadas, de maneira fundamentada, no prazo de vinte dias \u00fateis, a contar da data da comunica\u00e7\u00e3o.<\/p>\n\n\n\n

Pontos de aten\u00e7\u00e3o:<\/p>\n\n\n\n

Cabe ao controlador solicitar \u00e0 ANPD, de maneira fundamentada, o sigilo de informa\u00e7\u00f5es protegidas por lei, indicando aquelas cujo acesso dever\u00e1 ser restringido, a exemplo das relativas \u00e0 sua atividade empresarial cuja divulga\u00e7\u00e3o possa representar viola\u00e7\u00e3o de segredo comercial ou industrial.<\/p>\n\n\n\n

A ANPD pode solicitar informa\u00e7\u00f5es adicionais ao controlador, referentes ao incidente de seguran\u00e7a, inclusive o registro das opera\u00e7\u00f5es de tratamento dos dados pessoais afetados pelo incidente, o relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais (RIPD) e o relat\u00f3rio de tratamento do incidente, estabelecendo prazo para o envio das informa\u00e7\u00f5es.<\/p>\n\n\n\n

O controlador dever\u00e1 juntar ao processo de comunica\u00e7\u00e3o de incidente uma declara\u00e7\u00e3o de que foi realizada a comunica\u00e7\u00e3o aos titulares, constando os meios de comunica\u00e7\u00e3o ou divulga\u00e7\u00e3o utilizados, em at\u00e9 tr\u00eas dias \u00fateis, contados do t\u00e9rmino do prazo de que trata o caput deste artigo.<\/p>\n\n\n\n

O controlador dever\u00e1 manter o registro do incidente de seguran\u00e7a, inclusive daquele n\u00e3o comunicado \u00e0 ANPD e aos titulares, pelo prazo m\u00ednimo de cinco anos, contado a partir da data do registro, exceto se constatadas obriga\u00e7\u00f5es adicionais que demandem maior prazo de manuten\u00e7\u00e3o.<\/p>\n\n\n\n

A ANPD poder\u00e1 fixar multa di\u00e1ria para assegurar o cumprimento de suas determina\u00e7\u00f5es.<\/p>\n\n\n\n

Sua opera\u00e7\u00e3o est\u00e1 adequada \u00e0 LGPD?<\/strong><\/h3>\n\n\n\n

Caso queira conversar para entender melhor sobre a nova norma ou qualquer outro tema relacionado \u00e0 prote\u00e7\u00e3o de dados pessoais, fale conosco.<\/p>\n\n\n\n

\u200d<\/p>","protected":false},"excerpt":{"rendered":"

No dia 26 de abril de 2024, a ANPD divulgou uma nova norma que trata sobre a comunica\u00e7\u00e3o em caso de incidente de seguran\u00e7a da informa\u00e7\u00e3o envolvendo dados pessoais. Com a Resolu\u00e7\u00e3o CD\/ANPD n\u00b0 15\/2024, a Autarquia define termos importantes para auxiliar na tomada de decis\u00e3o relacionada a comunica\u00e7\u00e3o sobre incidentes de seguran\u00e7a da informa\u00e7\u00e3o,…<\/p>","protected":false},"author":1,"featured_media":11269,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[],"class_list":["post-11268","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-regulacao-e-compliance-em-tecnologia","th-blog blog-single"],"_links":{"self":[{"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/posts\/11268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/comments?post=11268"}],"version-history":[{"count":1,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/posts\/11268\/revisions"}],"predecessor-version":[{"id":11270,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/posts\/11268\/revisions\/11270"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/media\/11269"}],"wp:attachment":[{"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/media?parent=11268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/categories?post=11268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fcm-principal-site-hnbhb3c8czgzb8fr.westus2-01.azurewebsites.net\/en\/wp-json\/wp\/v2\/tags?post=11268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}