Quando ocorre um incidente de segurança envolvendo dados pessoais, a empresa precisa avaliar rapidamente se o caso pode acarretar risco ou dano relevante aos titulares.
De acordo com a Lei Geral de Proteção de Dados (LGPD), quando esse risco existe, o controlador dos dados deve comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
Este artigo explica quando a comunicação é necessária e como realizar o envio à ANPD passo a passo.
1. Quando um incidente precisa ser comunicado
Nem todo incidente precisa ser comunicado à ANPD.
A comunicação é obrigatória quando:
o incidente foi confirmado
ele envolve dados pessoais
existe risco ou dano relevante aos titulares
Alguns fatores ajudam a avaliar o risco:
tipo de dados envolvidos, como dados financeiros, documentos ou credenciais de acesso
quantidade de pessoas afetadas
possibilidade de fraude ou uso indevido dos dados
exposição pública das informações
facilidade de identificação dos titulares
Importante
Mesmo quando todas as informações ainda não estiverem disponíveis, se houver indícios de risco relevante aos titulares, a recomendação é iniciar a comunicação à ANPD o mais rápido possível e complementar os dados posteriormente.
2. Quem deve comunicar o incidente
A responsabilidade legal de comunicar o incidente é do controlador dos dados.
Na prática:
Controlador: empresa ou organização que decide como os dados pessoais serão utilizados.
Operador: empresa que processa dados em nome do controlador, como fornecedores de software.
Normalmente, quem realiza o protocolo é:
o encarregado de dados (DPO).
ou um representante legal da empresa.
Importante
Mesmo que o incidente envolva sistemas ou serviços de terceiros, a responsabilidade pela comunicação à ANPD continua sendo do controlador dos dados.
3. Prazo para comunicar o incidente
A comunicação deve ser feita em até 3 dias úteis após a confirmação do incidente.
Caso nem todas as informações estejam disponíveis nesse prazo, é possível:
enviar uma comunicação preliminar
complementar as informações posteriormente
A ANPD permite o envio de informações adicionais dentro do mesmo processo.
4. Informações que devem ser reunidas antes da comunicação
Antes de iniciar o processo, organize as principais informações sobre o incidente.
Informações básicas
data da identificação do incidente
data em que a empresa teve ciência confirmada
descrição do que aconteceu
Dados envolvidos
categorias de dados pessoais afetados
quantidade estimada de titulares impactados
Impacto
riscos potenciais aos titulares
possíveis danos ou fraudes decorrentes
Medidas adotadas
ações de contenção
medidas técnicas implementadas
plano de mitigação
Também é importante reunir documentos que comprovem a legitimidade do representante da empresa, como:
designação do encarregado
procuração, quando aplicável
documentos societários
5. Passo a passo para comunicar o incidente à ANPD
A comunicação é feita pelo Sistema Eletrônico de Informações (SEI) da ANPD.
Passo 1: Acesse o SEI da ANPD
Acesse o sistema de peticionamento eletrônico da ANPD: https://www.gov.br/anpd.
Será necessário possuir cadastro como usuário externo no SEI.
Passo 2: Inicie um novo processo
Dentro do sistema:
Acesse Peticionamento.
Selecione Processo Novo.
Passo 3: Escolha o tipo de processo
Selecione o tipo de processo:
ANPD – Comunicados de Incidentes à Agência Nacional de Proteção de Dados
Esse é o tipo específico utilizado para comunicar incidentes de segurança.
Passo 4: Preencha o formulário de incidente
No campo Documento Principal, preencha o formulário de comunicação.
Existem duas opções:
Comunicação preliminar: utilizada quando ainda faltam informações sobre o incidente.
Comunicação completa: utilizada quando o levantamento já está finalizado.
O formulário solicitará informações como:
descrição do incidente
dados pessoais afetados
número estimado de titulares impactados
riscos envolvidos
medidas adotadas
Passo 5: Anexe documentos complementares
Na seção Documentos Complementares, inclua:
documentos que comprovem a representação da empresa
relatórios técnicos, quando houver
evidências relevantes do incidente
Passo 6: Revise o nível de acesso dos documentos
Antes de enviar o processo, verifique o nível de acesso dos documentos. Alguns documentos podem conter:
informações sensíveis
detalhes técnicos de segurança
segredos comerciais
Quando necessário, solicite restrição de acesso.
Passo 7: Protocole o processo
Após finalizar o preenchimento:
revise todas as informações
confirme o envio
O sistema irá gerar um Recibo Eletrônico de Protocolo.
Guarde esse recibo como comprovação da comunicação realizada.
6. Como complementar uma comunicação já enviada
Caso novas informações sejam identificadas após o envio inicial, é possível atualizar o processo. Para isso:
Acesse o SEI
selecione Peticionamento Intercorrente
informe o número do processo já existente
anexe os documentos ou informações adicionais
Todas as atualizações devem ser feitas no mesmo processo.
7. Comunicação aos titulares afetados
Além da comunicação à ANPD, a LGPD exige que os titulares impactados também sejam informados quando houver risco relevante. Essa comunicação deve:
ser clara e objetiva
utilizar linguagem simples
ocorrer preferencialmente por canais diretos
Exemplos de canais:
e-mail
SMS
notificação no aplicativo
comunicação oficial da empresa
O comunicado deve informar:
o que aconteceu
quais dados podem ter sido afetados
quais riscos existem
quais medidas a empresa adotou
como o titular pode obter mais informações
Importante
A comunicação aos titulares deve evitar termos excessivamente técnicos e priorizar orientações práticas, para que os clientes compreendam os riscos e saibam como se proteger.
8. O que acontece após a comunicação
Após o envio da comunicação, a ANPD poderá:
analisar o incidente
solicitar informações adicionais
orientar medidas de mitigação
determinar comunicação aos titulares
encerrar o processo caso não haja infração
Em alguns casos, a autoridade também pode abrir processo de fiscalização, dependendo da gravidade do incidente.
9. Boas práticas ao comunicar incidentes
Algumas práticas ajudam a demonstrar transparência e diligência:
registrar uma linha do tempo do incidente
documentar as decisões tomadas
manter evidências técnicas
demonstrar as medidas de mitigação adotadas
comunicar a ANPD dentro do prazo
Essas ações demonstram que a empresa possui governança e capacidade de resposta a incidentes.
Resumo
Sempre que um incidente de segurança envolver dados pessoais e apresentar risco relevante aos titulares, o controlador deve:
avaliar o impacto do incidente
reunir as informações necessárias
comunicar a ANPD pelo sistema SEI
realizar a comunicação aos titulares quando aplicável
complementar informações posteriormente, se necessário
A comunicação rápida e transparente é um elemento importante de conformidade com a LGPD e de boas práticas de segurança da informação.
