MANUAL DE FÁCIL ENTENDIMENTO Comunicação de Incidente de Segurança com Dados Pessoais PROJETAR CONSULTORIA EM TELECOMUNICAÇÕES

📌 OBJETIVO DESTE MANUAL

Este manual foi elaborado para orientar os clientes da PROJETAR CONSULTORIA EM TELECOMUNICAÇÕES, de forma simples, prática e objetiva, sobre:

  • O que é um incidente de segurança com dados pessoais;
  • Quando existe obrigação de comunicação;
  • Como e para quem comunicar;
  • Quais são os prazos e riscos envolvidos;
  • O papel da ANPD (Autoridade Nacional de Proteção de Dados).

1 O QUE É UM INCIDENTE DE SEGURANÇA?

Um incidente de segurança com dados pessoais é qualquer evento que comprometa:

  • 🔒 Confidencialidade (dados vazaram ou foram acessados por quem não devia);
  • ✏️ Integridade (dados foram alterados indevidamente);
  • Disponibilidade (dados ficaram indisponíveis);
  • Autenticidade (dados foram falsificados ou adulterados).

Exemplos comuns:

  • Envio de dados pessoais para o e-mail errado;
  • Invasão de sistemas (hackers);
  • Sequestro de dados (ransomware);
  • Roubo ou perda de notebooks, celulares ou pendrives com dados pessoais;
  • Publicação acidental de informações de clientes.

⚠️ Atenção: Nem todo problema de TI é incidente com dados pessoais. Se não envolver pessoa natural identificada ou identificável, não há obrigação de comunicação à ANPD.

2 QUEM TEM O DEVER DE COMUNICAR?

A Comunicação de Incidente de Segurança (CIS) é obrigatória somente para o CONTROLADOR DE DADOS, ou seja, quem:

  • Decide por que e como os dados pessoais são tratados.

🔹 Operadores de dados (empresas terceirizadas) não comunicam diretamente à ANPD, mas devem informar o controlador imediatamente.

3 QUANDO O INCIDENTE DEVE SER COMUNICADO?

Um incidente DEVE ser comunicado à ANPD e aos titulares quando TODOS os critérios abaixo forem atendidos:

✔ O incidente realmente aconteceu (não é suspeita);
✔ Envolve dados pessoais protegidos pela LGPD;
✔ Pode gerar risco ou dano relevante ao titular.

Exemplos de risco ou dano relevante:

  • Possibilidade de fraude financeira;
  • Roubo de identidade;
  • Danos morais ou reputacionais;
  • Exposição de dados sensíveis (saúde, biometria, dados de crianças).

4 COMO AVALIAR O RISCO DO INCIDENTE?

O controlador deve analisar, entre outros fatores:

  • Tipo de dado afetado (comum ou sensível);
  • Quantidade de titulares impactados;
  • Perfil dos titulares (crianças, idosos, grupos vulneráveis);
  • Se os dados estavam protegidos (ex.: criptografia);
  • Possíveis prejuízos aos titulares;
  • Medidas adotadas para conter o problema.

📌 Importante: Um mesmo tipo de incidente pode ou não exigir comunicação, dependendo do contexto.

5 PRAZO PARA COMUNICAÇÃO

A LGPD exige que a comunicação seja feita em prazo razoável, conforme orientação da ANPD.

➡️ Recomendação prática: comunicar o quanto antes, mesmo que algumas informações ainda estejam em apuração.

Caso não seja possível enviar todos os detalhes inicialmente, é permitido:

  • Enviar uma comunicação inicial;
  • Complementar posteriormente as informações.

6 COMO COMUNICAR À ANPD?

A comunicação é feita exclusivamente de forma eletrônica, pelo sistema SEI! da ANPD.

Quem pode protocolar:

  • Encarregado de Dados (DPO);
  • Representante legal do controlador;
  • Procurador legalmente constituído.

Etapas resumidas:

  1. Acessar o sistema SEI! da ANPD;
  2. Protocolar a Comunicação de Incidente de Segurança;
  3. Anexar as informações exigidas;
  4. Receber o Recibo Eletrônico de Protocolo.

📧 Dificuldades técnicas:

7 COMUNICAÇÃO AOS TITULARES DE DADOS

⚠️ Atenção: Comunicar apenas à ANPD NÃO é suficiente.

Se houver risco ou dano relevante, o controlador é obrigado a comunicar também os titulares afetados.

A comunicação deve ser:

  • Clara;
  • Objetiva;
  • Com linguagem simples;
  • Informando o que aconteceu, quais dados foram afetados e quais medidas o titular pode adotar.

8 O QUE A ANPD FAZ APÓS A COMUNICAÇÃO?

A comunicação será analisada pela Coordenação de Tratamento de Incidentes de Segurança (CGF/ANPD).

A ANPD pode:

  • Arquivar o processo, se entender que não houve infração;
  • Determinar ajustes na comunicação aos titulares;
  • Exigir medidas adicionais de mitigação;
  • Instaurar processo administrativo sancionador.

Penalidades possíveis (art. 52 da LGPD):

  • Advertência;
  • Multa simples ou diária;
  • Publicização da infração;
  • Bloqueio ou eliminação de dados;
  • Outras sanções administrativas.

9 SE O CONTROLADOR NÃO COMUNICAR?

Mesmo sem comunicação voluntária, a ANPD pode:

  • Tomar conhecimento do incidente por terceiros;
  • Abrir procedimento de apuração;
  • Exigir a comunicação obrigatória;
  • Aplicar sanções administrativas.

🔍 CONCLUSÃO PRÁTICA

✔ Incidente confirmado + dados pessoais + risco relevante = COMUNICAÇÃO OBRIGATÓRIA;
✔ Comunicação deve ser feita à ANPD e aos titulares;
✔ Omissão ou atraso pode gerar multas e sanções;
✔ Planejamento e resposta rápida reduzem riscos legais.

🤝 SUPORTE ESPECIALIZADO

A PROJETAR CONSULTORIA EM TELECOMUNICAÇÕES oferece apoio completo em:

  • Elaboração da comunicação à ANPD;
  • Orientação ao encarregado (DPO);
  • Adequação à LGPD e às normas da ANPD.

📞 Em caso de dúvida, procure nossa equipe especializada.

Postagens Relacionadas

LINKS ÚTEIS

ACESSO RÁPIDO

Soluções

CONTATO

  • Horário de Funcionamento:
    Seg. a Sex. | 08h às 17h
Desenvolvido por Agência Quista - Criação de Sites BH.
Abrir Whatsapp
Precisa de ajuda?
Oi 👋
Como podemos de ajudar?