Cuando ocurre un incidente de seguridad que involucra datos personales, la empresa debe evaluar rápidamente si el caso puede implicar riesgo o daño relevante a los titulares.
De acuerdo con la Ley General de Protección de Datos (LGPD), cuando este riesgo existe, el responsable de los datos debe comunicar el incidente a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares afectados.
Este artículo explica cuándo es necesaria la comunicación y cómo realizar el envío a la ANPD paso a paso.
1. Cuándo un incidente debe ser comunicado
No todos los incidentes deben ser comunicados a la ANPD.
La comunicación es obligatoria cuando:
el incidente ha sido confirmado
involucra datos personales
existe riesgo o daño relevante a los titulares
Algunos factores ayudan a evaluar el riesgo:
tipo de datos involucrados, como datos financieros, documentos o credenciales de acceso
cantidad de personas afectadas
posibilidad de fraude o uso indebido de los datos
exposición pública de la información
facilidad de identificación de los titulares
Importante
Incluso cuando no toda la información esté disponible, si existen indicios de riesgo relevante a los titulares, la recomendación es iniciar la comunicación a la ANPD lo antes posible y complementar los datos posteriormente.
2. Quién debe comunicar el incidente
La responsabilidad legal de comunicar el incidente es del responsable de los datos.
En la práctica:
Responsable del tratamiento: empresa u organización que decide cómo se utilizarán los datos personales.
Encargado: empresa que procesa datos en nombre del responsable, como proveedores de software.
Normalmente, quien realiza el envío es:
el encargado de datos (DPO).
o un representante legal de la empresa.
Importante
Incluso si el incidente involucra sistemas o servicios de terceros, la responsabilidad de comunicar a la ANPD sigue siendo del responsable de los datos.
3. Plazo para comunicar el incidente
La comunicación debe realizarse en hasta 3 días hábiles después de la confirmación del incidente.
Si no toda la información está disponible en ese plazo, es posible:
enviar una comunicación preliminar
complementar la información posteriormente
La ANPD permite el envío de información adicional dentro del mismo proceso.
4. Información que debe reunirse antes de la comunicación
Antes de iniciar el proceso, organice la información principal sobre el incidente.
Información básica
fecha de identificación del incidente
fecha en que la empresa tuvo conocimiento confirmado
descripción de lo ocurrido
Datos involucrados
categorías de datos personales afectados
cantidad estimada de titulares impactados
Impacto
riesgos potenciales para los titulares
posibles daños o fraudes derivados
Medidas adoptadas
acciones de contención
medidas técnicas implementadas
plan de mitigación
También es importante reunir documentos que comprueben la legitimidad del representante de la empresa, como:
designación del encargado
poder, cuando aplique
documentos societarios
5. Paso a paso para comunicar el incidente a la ANPD
La comunicación se realiza a través del Sistema Electrónico de Información (SEI) de la ANPD.
Paso 1: Acceda al SEI de la ANPD
Acceda al sistema de peticionamiento electrónico de la ANPD: https://www.gov.br/anpd.
Será necesario contar con registro como usuario externo en el SEI.
Paso 2: Inicie un nuevo proceso
Dentro del sistema:
Acceda a Peticionamiento.
Seleccione Proceso Nuevo.
Paso 3: Elija el tipo de proceso
Seleccione el tipo de proceso:
ANPD – Comunicaciones de Incidentes a la Autoridad Nacional de Protección de Datos
Este es el tipo específico utilizado para comunicar incidentes de seguridad.
Paso 4: Complete el formulario de incidente
En el campo Documento Principal, complete el formulario de comunicación.
Existen dos opciones:
Comunicación preliminar: utilizada cuando aún faltan datos sobre el incidente.
Comunicación completa: utilizada cuando el levantamiento ya está finalizado.
El formulario solicitará información como:
descripción del incidente
datos personales afectados
número estimado de titulares impactados
riesgos involucrados
medidas adoptadas
Paso 5: Adjunte documentos complementarios
En la sección Documentos Complementarios, incluya:
documentos que comprueben la representación de la empresa
informes técnicos, cuando existan
evidencias relevantes del incidente
Paso 6: Revise el nivel de acceso de los documentos
Antes de enviar el proceso, verifique el nivel de acceso de los documentos. Algunos documentos pueden contener:
información sensible
detalles técnicos de seguridad
secretos comerciales
Cuando sea necesario, solicite restricción de acceso.
Paso 7: Envíe el proceso
Después de completar:
revise toda la información
confirme el envío
El sistema generará un Recibo Electrónico de Protocolo.
Guarde este comprobante como evidencia de la comunicación realizada.
6. Cómo complementar una comunicación ya enviada
Si se identifican nuevas informaciones después del envío inicial, es posible actualizar el proceso. Para ello:
Acceda al SEI
seleccione Peticionamiento Intercorriente
informe el número del proceso existente
adjunte los documentos o información adicional
Todas las actualizaciones deben realizarse en el mismo proceso.
7. Comunicación a los titulares afectados
Además de la comunicación a la ANPD, la LGPD exige que los titulares impactados también sean informados cuando exista riesgo relevante. Esta comunicación debe:
ser clara y objetiva
utilizar lenguaje simple
realizarse preferentemente por canales directos
Ejemplos de canales:
correo electrónico
SMS
notificación en la aplicación
comunicación oficial de la empresa
El comunicado debe informar:
qué ocurrió
qué datos pueden haber sido afectados
qué riesgos existen
qué medidas adoptó la empresa
cómo el titular puede obtener más información
Importante
La comunicación a los titulares debe evitar términos excesivamente técnicos y priorizar orientaciones prácticas, para que los clientes comprendan los riesgos y sepan cómo protegerse.
8. Qué ocurre después de la comunicación
Después del envío de la comunicación, la ANPD podrá:
analizar el incidente
solicitar información adicional
orientar medidas de mitigación
determinar la comunicación a los titulares
cerrar el proceso si no existe infracción
En algunos casos, la autoridad también puede iniciar un proceso de fiscalización, dependiendo de la gravedad del incidente.
9. Buenas prácticas al comunicar incidentes
Algunas prácticas ayudan a demostrar transparencia y diligencia:
registrar una línea de tiempo del incidente
documentar las decisiones tomadas
mantener evidencias técnicas
demostrar las medidas de mitigación adoptadas
comunicar a la ANPD dentro del plazo
Estas acciones demuestran que la empresa cuenta con gobernanza y capacidad de respuesta ante incidentes.
Resumen
Siempre que un incidente de seguridad involucre datos personales y represente riesgo relevante para los titulares, el responsable debe:
evaluar el impacto del incidente
reunir la información necesaria
comunicar a la ANPD a través del sistema SEI
realizar la comunicación a los titulares cuando aplique
complementar información posteriormente, si es necesario
Una comunicación rápida y transparente es un elemento importante de cumplimiento con la LGPD y de buenas prácticas de seguridad de la información.
