Quando Comunicar um Incidente de Dados Pessoais à ANPD?

A proteção de dados pessoais é uma prioridade para empresas que lidam com informações sensíveis de clientes e colaboradores. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece regras claras sobre como as organizações devem tratar esses dados e como proceder em caso de vazamento ou incidente de segurança. Mas quando é necessário comunicar um incidente de dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD)?

O que é um incidente de dados pessoais?

Um incidente de dados pessoais ocorre quando há comprometimento da segurança de informações protegidas, resultando em acesso, destruição, perda, alteração ou divulgação não autorizada. Isso pode acontecer por diversos motivos, como ataques cibernéticos, falhas humanas ou erros nos sistemas de armazenamento e processamento de dados.

Quando comunicar um incidente de dados pessoais?

De acordo com a LGPD, nem todo incidente precisa ser comunicado à ANPD. A comunicação se torna obrigatória quando o incidente envolver riscos ou danos relevantes aos titulares dos dados. Os principais critérios para essa avaliação incluem:

1. Gravidade do incidente – Se o vazamento ou comprometimento dos dados puder gerar prejuízos significativos aos titulares, como fraudes, roubo de identidade ou exposição indevida de informações sensíveis.
2. Volume de dados afetados – Incidentes que envolvem um grande número de registros de dados pessoais podem representar maior impacto e necessitam de comunicação.
3. Natureza dos dados vazados – Informações sensíveis, como dados financeiros, biométricos, de saúde ou informações que possam causar discriminação aos titulares, demandam maior atenção.
4. Facilidade de acesso aos dados – Se os dados vazados puderem ser facilmente utilizados por terceiros para práticas ilícitas, o incidente deve ser comunicado.

Como comunicar um vazamento de dados à ANPD?

Caso um incidente atenda aos critérios acima, a empresa deve comunicar a ANPD o mais rápido possível. O processo envolve as seguintes etapas:

Comunicação aos titulares dos dados – Dependendo da gravidade do incidente, a empresa também pode ser obrigada a informar diretamente os titulares sobre o vazamento e as medidas adotadas.

Identificação do incidente – Assim que a empresa tomar conhecimento da ocorrência, deve iniciar uma investigação interna para entender a causa e o impacto do problema.

Adoção de medidas para mitigação de danos – Antes da comunicação à ANPD, é essencial que a organização implemente ações para minimizar os impactos do vazamento de dados.

Elaboração do relatório de incidente – A comunicação à ANPD deve conter informações como:

• Descrição do incidente e sua natureza;
• Categoria e quantidade de dados afetados;
• Medidas adotadas para conter o problema;
• Possíveis impactos para os titulares dos dados;
• Ações para evitar novos incidentes.

Envio da notificação à ANPD – A notificação pode ser feita por meio do formulário disponibilizado pela própria Autoridade Nacional de Proteção de Dados.

Quem deve comunicar o incidente?

A responsabilidade pela comunicação do incidente é do controlador dos dados, ou seja, a organização que determina a finalidade e os meios do tratamento das informações pessoais. Cabe a ele avaliar a gravidade do incidente e notificar tanto a ANPD quanto os titulares dos dados afetados, se necessário.

Caso o incidente ocorra em um operador de dados – ou seja, um fornecedor ou parceiro que processa dados em nome do controlador –, ele deve comunicar o evento imediatamente ao controlador, para que este avalie a necessidade de notificação à ANPD. O operador não tem a obrigação direta de comunicar o incidente à autoridade, mas sua colaboração é fundamental para mitigar os impactos.

Em seu site, a Autoridade Nacional de Proteção de Dados disponibiliza o seguinte diagrama referente a comunicação de incidentes:

Consequências da não comunicação de um incidente

O descumprimento das diretrizes da LGPD pode resultar em sanções aplicadas pela ANPD, incluindo:

• Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais.
• Advertências;
• Multas de até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração;
• Bloqueio ou eliminação de dados pessoais coletados de maneira irregular;

Como prevenir incidentes de dados pessoais?

A melhor maneira de evitar a necessidade de comunicar incidentes à ANPD é implementar boas práticas de segurança da informação, como:

• Utilização de firewalls, criptografia e outros mecanismos de proteção digital;
• Treinamento contínuo de colaboradores sobre boas práticas de proteção de dados;
• Implementação de políticas internas de segurança da informação;
• Monitoramento constante dos sistemas para identificar possíveis vulnerabilidades.

Conclusão

A comunicação de um incidente envolvendo dados pessoais à ANPD é uma obrigação legal que deve ser cumprida sempre que houver riscos significativos para os titulares dos dados. Empresas que adotam medidas preventivas e seguem as diretrizes da LGPD minimizam os impactos de vazamentos e garantem mais segurança para seus clientes e colaboradores.

Manter um plano de resposta a incidentes e contar com um canal de comunicação eficiente são passos fundamentais para agir rapidamente diante de qualquer ocorrência e evitar sanções regulatórias.

• Instagram
• YouTube
• LinkedIn
• Link

---