Ir al contenido principal

Cómo comunicar un incidente a la ANPD

Escrito por Viviane Flores

Cuando ocurre un incidente de seguridad que involucra datos personales, la empresa debe evaluar rápidamente si el caso puede implicar riesgo o daño relevante a los titulares.

De acuerdo con la Ley General de Protección de Datos (LGPD), cuando este riesgo existe, el responsable de los datos debe comunicar el incidente a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares afectados.

Este artículo explica cuándo es necesaria la comunicación y cómo realizar el envío a la ANPD paso a paso.


1. Cuándo un incidente debe ser comunicado

No todos los incidentes deben ser comunicados a la ANPD.

La comunicación es obligatoria cuando:

  • el incidente ha sido confirmado

  • involucra datos personales

  • existe riesgo o daño relevante a los titulares

Algunos factores ayudan a evaluar el riesgo:

  • tipo de datos involucrados, como datos financieros, documentos o credenciales de acceso

  • cantidad de personas afectadas

  • posibilidad de fraude o uso indebido de los datos

  • exposición pública de la información

  • facilidad de identificación de los titulares

Importante

Incluso cuando no toda la información esté disponible, si existen indicios de riesgo relevante a los titulares, la recomendación es iniciar la comunicación a la ANPD lo antes posible y complementar los datos posteriormente.


2. Quién debe comunicar el incidente

La responsabilidad legal de comunicar el incidente es del responsable de los datos.

En la práctica:

  • Responsable del tratamiento: empresa u organización que decide cómo se utilizarán los datos personales.

  • Encargado: empresa que procesa datos en nombre del responsable, como proveedores de software.

Normalmente, quien realiza el envío es:

  • el encargado de datos (DPO).

  • o un representante legal de la empresa.

Importante

Incluso si el incidente involucra sistemas o servicios de terceros, la responsabilidad de comunicar a la ANPD sigue siendo del responsable de los datos.


3. Plazo para comunicar el incidente

La comunicación debe realizarse en hasta 3 días hábiles después de la confirmación del incidente.

Si no toda la información está disponible en ese plazo, es posible:

  • enviar una comunicación preliminar

  • complementar la información posteriormente

La ANPD permite el envío de información adicional dentro del mismo proceso.


4. Información que debe reunirse antes de la comunicación

Antes de iniciar el proceso, organice la información principal sobre el incidente.

Información básica

  • fecha de identificación del incidente

  • fecha en que la empresa tuvo conocimiento confirmado

  • descripción de lo ocurrido

Datos involucrados

  • categorías de datos personales afectados

  • cantidad estimada de titulares impactados

Impacto

  • riesgos potenciales para los titulares

  • posibles daños o fraudes derivados

Medidas adoptadas

  • acciones de contención

  • medidas técnicas implementadas

  • plan de mitigación

También es importante reunir documentos que comprueben la legitimidad del representante de la empresa, como:

  • designación del encargado

  • poder, cuando aplique

  • documentos societarios


5. Paso a paso para comunicar el incidente a la ANPD

La comunicación se realiza a través del Sistema Electrónico de Información (SEI) de la ANPD.

Paso 1: Acceda al SEI de la ANPD

  • Acceda al sistema de peticionamiento electrónico de la ANPD: https://www.gov.br/anpd.

  • Será necesario contar con registro como usuario externo en el SEI.

Paso 2: Inicie un nuevo proceso

Dentro del sistema:

  • Acceda a Peticionamiento.

  • Seleccione Proceso Nuevo.

Paso 3: Elija el tipo de proceso

Seleccione el tipo de proceso:

  • ANPD – Comunicaciones de Incidentes a la Autoridad Nacional de Protección de Datos

Este es el tipo específico utilizado para comunicar incidentes de seguridad.

Paso 4: Complete el formulario de incidente

  • En el campo Documento Principal, complete el formulario de comunicación.

Existen dos opciones:

  • Comunicación preliminar: utilizada cuando aún faltan datos sobre el incidente.

  • Comunicación completa: utilizada cuando el levantamiento ya está finalizado.

El formulario solicitará información como:

  • descripción del incidente

  • datos personales afectados

  • número estimado de titulares impactados

  • riesgos involucrados

  • medidas adoptadas

Paso 5: Adjunte documentos complementarios

En la sección Documentos Complementarios, incluya:

  • documentos que comprueben la representación de la empresa

  • informes técnicos, cuando existan

  • evidencias relevantes del incidente

Paso 6: Revise el nivel de acceso de los documentos

Antes de enviar el proceso, verifique el nivel de acceso de los documentos. Algunos documentos pueden contener:

  • información sensible

  • detalles técnicos de seguridad

  • secretos comerciales

Cuando sea necesario, solicite restricción de acceso.

Paso 7: Envíe el proceso

Después de completar:

  • revise toda la información

  • confirme el envío

El sistema generará un Recibo Electrónico de Protocolo.

Guarde este comprobante como evidencia de la comunicación realizada.


6. Cómo complementar una comunicación ya enviada

Si se identifican nuevas informaciones después del envío inicial, es posible actualizar el proceso. Para ello:

  1. Acceda al SEI

  2. seleccione Peticionamiento Intercorriente

  3. informe el número del proceso existente

  4. adjunte los documentos o información adicional

Todas las actualizaciones deben realizarse en el mismo proceso.


7. Comunicación a los titulares afectados

Además de la comunicación a la ANPD, la LGPD exige que los titulares impactados también sean informados cuando exista riesgo relevante. Esta comunicación debe:

  • ser clara y objetiva

  • utilizar lenguaje simple

  • realizarse preferentemente por canales directos

Ejemplos de canales:

  • correo electrónico

  • SMS

  • notificación en la aplicación

  • comunicación oficial de la empresa

El comunicado debe informar:

  • qué ocurrió

  • qué datos pueden haber sido afectados

  • qué riesgos existen

  • qué medidas adoptó la empresa

  • cómo el titular puede obtener más información

Importante

La comunicación a los titulares debe evitar términos excesivamente técnicos y priorizar orientaciones prácticas, para que los clientes comprendan los riesgos y sepan cómo protegerse.


8. Qué ocurre después de la comunicación

Después del envío de la comunicación, la ANPD podrá:

  • analizar el incidente

  • solicitar información adicional

  • orientar medidas de mitigación

  • determinar la comunicación a los titulares

  • cerrar el proceso si no existe infracción

En algunos casos, la autoridad también puede iniciar un proceso de fiscalización, dependiendo de la gravedad del incidente.


9. Buenas prácticas al comunicar incidentes

Algunas prácticas ayudan a demostrar transparencia y diligencia:

  • registrar una línea de tiempo del incidente

  • documentar las decisiones tomadas

  • mantener evidencias técnicas

  • demostrar las medidas de mitigación adoptadas

  • comunicar a la ANPD dentro del plazo

Estas acciones demuestran que la empresa cuenta con gobernanza y capacidad de respuesta ante incidentes.


Resumen

Siempre que un incidente de seguridad involucre datos personales y represente riesgo relevante para los titulares, el responsable debe:

  • evaluar el impacto del incidente

  • reunir la información necesaria

  • comunicar a la ANPD a través del sistema SEI

  • realizar la comunicación a los titulares cuando aplique

  • complementar información posteriormente, si es necesario

Una comunicación rápida y transparente es un elemento importante de cumplimiento con la LGPD y de buenas prácticas de seguridad de la información.


Artículos relacionados

¿Ha quedado contestada tu pregunta?