Skip to main content
Mais Lidos
Em Destaque
View All Services
Ver Todas as Indústrias
About Us Overview
  • Home
  • Insights
  • Novas Orientações da ANPD sobre Comunicados de Incidentes de Segurança da Informação
janeiro 04 2023

Novas Orientações da ANPD sobre Comunicados de Incidentes de Segurança da Informação

Authors:
Baixar PDF
Share

A Autoridade Nacional de Proteção de Dados (ANPD) publicou nova orientação acerca de comunicados de incidente de segurança da informação, necessários sempre que o incidente seja capaz de causar riscos ou danos relevantes aos titulares.

Em síntese, estas foram as novas atualizações:

  • Foi disponibilizado um novo formulário para Comunicados de Incidentes de Segurança (CIS), que deve ser utilizado a partir de 1º de janeiro de 2023.
  • Foi confirmado que a obrigação de comunicação de notificação de incidentes diretamente à ANPD cabe apenas aos controladores, retirando qualquer dúvida de que tal obrigação poderia recair sobre os operadores, que devem, porém, sempre comunicar os incidentes aos seus controladores. Nesse ponto, houve, inclusive, a recomendação de que tais deveres estejam previstos em contratos firmados entre as partes.
  • A notificação deve ser feita pelo(a) encarregado(a) da companhia afetada ou por um representante, que deve demonstrar os seus poderes por meio de procuração e documentos societários apropriados.
  • A comunicação deve ser protocolada digitalmente via site do Sistema Único de Processo Eletrônico em Rede.
  • Foi confirmado que o prazo para comunicação de incidentes de segurança à ANPD e titulares deverá ser de dois dias úteis contados a partir da ciência do evento.
  • Apenas incidentes confirmados internamente precisam ser notificados, ou seja, a mera suspeita de um incidente não é notificável.
  • A ANPD indicou critérios específicos que devem ser considerados pelos controladores na avaliação de risco ou dano relevante aos titulares:

(i) o contexto da atividade de tratamento de dados;
(ii) as categorias e quantidades de titulares afetados;
(iii) os tipos e quantidade de dados violados;
(iv) os potenciais danos materiais, morais, reputacionais causados aos titulares;
(v) se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;
(vi) as medidas de mitigação adotadas pelo controlador após o incidente.

  • A impossibilidade de realizar a comunicação completa do incidente em dois dias úteis deve ser devidamente justificada pelo controlador. A complementação deverá ser encaminhada o mais breve possível e, no mais tardar, em 30 dias corridos contados da comunicação inicial (preliminar).
  • A comunicação aos titulares:

(i) deve ser feita via de regra individual e diretamente aos titulares afetados;
(ii) pode ser enviada por quaisquer meios (e-mail, SMS, carta ou mensagem eletrônica);
(iii) se não for possível individualizar os afetados, deve ser feita uma comunicação geral para todos os titulares que tenham dados pessoais na base de dados afetada;
(iv) excepcionalmente, e de forma justificada, pode ser feita a comunicação indireta por meio de publicação em meios de comunicação, capaz de alcançar o maior número possível de titulares;
(v) não é necessário enviar à ANPD a lista de titulares afetados ou seus dados de contato para comprovação da notificação.

  • O comunicado aos titulares deverá conter, no mínimo:

(i) resumo e data da ocorrência do incidente;
(ii) descrição dos dados pessoais afetados;
(iii) riscos e consequências aos titulares de dados;
(iv) medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
(v) dados de contato do encarregado do controlador para que os titulares possam solicitar informações adicionais a respeito do incidente.

  • Após a notificação à ANPD, em sede de processo administrativo, ela avaliará a gravidade do incidente e poderá, ainda, determinar que o controlador envie a comunicação aos titulares, se não tiver sido realizada ainda; modifique a comunicação aos indivíduos afetados; divulgue amplamente o incidente ou adote medidas adicionais para mitigação dos efeitos do incidente. Por fim, a ANPD avaliará se houve violação à LGPD e, se cabível, aplicará as sanções previstas no art. 52 da referida legislação.

Autores

Stay Up To Date With Our Insights

See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe

Follow us

© 2024 Mayer Brown

 

 

Mayer Brown is a global services provider comprising associated legal practices that are separate entities, including Mayer Brown LLP (Illinois, USA), Mayer Brown International LLP (England & Wales), Mayer Brown (a Hong Kong partnership) and Tauil & Chequer Advogados (a Brazilian law partnership) and non-legal service providers, which provide consultancy services (collectively, the “Mayer Brown Practices”). The Mayer Brown Practices are established in various jurisdictions and may be a legal person or a partnership. PK Wong & Nair LLC (“PKWN”) is the constituent Singapore law practice of our licensed joint law venture in Singapore, Mayer Brown PK Wong & Nair Pte. Ltd. Details of the individual Mayer Brown Practices and PKWN can be found in the Legal Notices section of our website.

“Mayer Brown” and the Mayer Brown logo are trademarks of Mayer Brown.

Attorney Advertising. Prior results do not guarantee a similar outcome.