AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES
Portaria Anatel nº 1962, de 29 de abril de 2021
|
Aprova o Plano de Resposta a Incidentes de Privacidade e Remediação. |
O PRESIDENTE DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 135 do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013,
CONSIDERANDO o disposto no art. 50, § 2º, I, "g" da Lei nº 13.709, de 14 de agosto de 2018;
CONSIDERANDO as orientações proferidas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) em seu site, sob o título Comunicação de incidentes de segurança;
CONSIDERANDO o constante dos autos do Processo nº 53500.023086/2021-15;
CONSIDERANDO o constante dos autos do Processo nº 53500.054936/2020-38,
RESOLVE:
Art. 1º Aprovar o Plano de Resposta a Incidentes de Privacidade e Remediação da Agência Nacional de Telecomunicações, na forma do Anexo a esta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
 | Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente, em 29/04/2021, às 20:58, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
 | A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 6829892 e o código CRC CFCB8E4E. |
ANEXO
PLANO DE RESPOSTA A INCIDENTES DE PRIVACIDADE E REMEDIAÇÃO - PRIR
Objetivo
O Plano de Resposta a Incidentes de Privacidade e Remediação (PRIR) pretende cumprir os requisitos exigidos pela LGPD e tem como principal objetivo gerir incidentes e eventos de segurança e violação de dados pessoais com o propósito de limitar danos a Privacidade, diminuir o tempo de recuperação, além de aumentar a confiança dos titulares de dados no tratamento de dados custodiados pela Anatel.
O Plano de Resposta a Incidentes de Privacidade e Remediação – PRIR – detalha a abordagem e a atuação frente a eventos de violação que ocasionem prejuízos para o titular dos dados pessoais. Para alcançar esses objetivos, o Plano deve:
Estar acessível aos servidores e autoridades responsáveis pela sua execução;
Sofrer revisões para se manter atualizado;
Estar alinhado com as demais documentações, normativos e legislações associadas ao tema da privacidade e proteção de dados pessoais.
O que vem a ser um Incidente de Violação
Segundo a autoridade nacional um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Uma violação de dados ocorre quando a organização sofre um incidente de segurança relativo aos dados custodiados por ela e que resulta em uma violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal fato ocorrer e, se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa natural, a Anatel deverá notificar a autoridade nacional em prazo razoável.
Quem Responde por Violação à Privacidade
Cabe aos agentes de tratamento de dados pessoais adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança der causa ao dano ao titular do dado pessoal.
Fluxo das Atividades no PRIR
Receber notificação ou identificar evento
O servidor da Anatel caso tenha verificado alguma ocorrência que possa impactar a privacidade deve notificar a Equipe de Tratamento de Incidente de Rede - ETIR/SGI/Anatel por meio de um formulário de notificação.
Um usuário externo também pode notificar a Anatel mas, neste caso, o instrumento será o sistema Anatel Consumidor ou qualquer outro canal de comunicação de denúncia.
Caso a Anatel tenha algum contrato, pelo qual o fornecedor atue como Operador, cabe também ao Operador fazer a devida notificação à ETIR. Caso o evento tenha ocorrido por atuação do Operador, é esperado que essa notificação seja respondida com a menção do conhecimento sobre a existência do evento e as suas consequências, assim como as providências a serem tomadas pelo Operador.
O formulário de notificação pelo servidor está disponível em Formulário de Comunicação à ETIR.
O servidor deve encaminhar o formulário preenchido para ETIR: etir@anatel.gov.br.
Caso o formulário não contenha dados minimamente suficientes para a apuração pela ETIR, ele poderá ser recusado.
Avaliar evento
Nessa etapa o evento é analisado e avaliado pela ETIR/SGI/Anatel sob a ótica da segurança e classificado segundo o nível de risco.
Nessa fase é feita uma triagem e verificação se o evento é ou não relacionado a privacidade.
Só será acionado o PRIR no caso em que o evento for relacionado à privacidade. Serão levantadas as primeiras informações sobre o evento e sua abrangência, com o máximo de informações para prosseguir com o tratamento. Um incidente de segurança cibernético não é tratado por esse fluxo, exceto naqueles casos em que ocorre um ataque cibernético à Anatel com acesso ou alteração de dados pessoais.
Enviar para o Encarregado
Após avaliado e considerado evento de privacidade, uma notificação da ETIR/Anatel será encaminhada para o Encarregado para que este tome ciência e decida as ações para tratamento.
Devolver notificação à origem
Após avaliado o evento, se não for considerado um evento de privacidade a comunicação será devolvida àquele que notificou a ETIR para que o servidor ou notificante possa buscar outro canal para a solução do problema encontrado.
Avaliar impacto para o titular do dado
A Anatel/unidade administrativa exerce o papel de Controladora de dados pessoais, assim a avaliação dos eventos de privacidade contemplará a identificação do tipo de dados pessoais envolvido no evento, bem como potencial impacto para o titular do dado.
Avaliar necessidade de comunicação
De acordo com a gravidade dos eventos encaminhados para o Encarregado, este fará a avaliação da necessidade de comunicação com a Presidência, pois conforme a situação são necessários o alinhamento e a preparação da Anatel para possíveis explicações públicas sobre um evento de violação à privacidade decorrente do seu tratamento de dados ou mesmo uma exposição de vulnerabilidade, considerando uma potencial ineficácia dos procedimentos preventivos de segurança da informação.
Compete ao controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: I - ampla divulgação do fato em meios de comunicação; e II - medidas para reverter ou mitigar os efeitos do incidente.
Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.
Embora a responsabilidade e a obrigação pela comunicação à ANPD sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, serão devidamente analisadas pela ANPD.
Identificar tipo de incidente
Os eventos notificados são considerados incidentes de violação à privacidade quando identificadas irregularidades que venham a expor os titulares dos dados pessoais. Um incidente de segurança pode ser decorrente de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais tratados pela Anatel.
Para cada tipo de incidente devem ser identificadas as formas de tratamento necessárias.
Comunicar a Presidência e a Assessoria de Comunicação
Uma vez identificados os incidentes de grande proporção, cabe ao Encarregado informar acerca do teor da violação à Presidência para possibilitar a determinação de ações estratégicas internas e externas e à Assessoria de Comunicação para o acompanhamento externo do impacto dos eventos confirmados.
Essas notificações visam o alinhamento entre o Encarregado, a Alta Administração e a Assessoria de Comunicação.
Cabe à Assessoria de Comunicação o acompanhamento das ações, da repercussão na mídia, em outros órgãos e entidades e do impacto da violação e, com base nessa avaliação, alinhar o posicionamento da Anatel. A comunicação pode ser basicamente de respostas às demandas, ou de Nota da Anatel à imprensa como mecanismo de prestação de contas.
Dar ciência do evento à ANPD
Uma vez efetuada a comunicação com a Presidência, cabe proceder com as notificações à ANPD, naqueles casos exigidos na Lei e regulamentação específica, e aos titulares afetados.
O formulário eletrônico disponibilizado no site da ANPD deve ser preenchido e enviado por meio de Peticionamento Eletrônico – Usuário Externo.
O formulário está disponível para preenchimento em Formulário de Comunicação à ANPD.
Definir ações de comunicação necessárias
Após as devidas verificações pela ETIR e pelo Encarregado, cabe à Assessoria de Comunicação (APC) as devidas providências para o acompanhamento ou estabelecimento de comunicações internas ou externas de acordo com os padrões de comunicação estabelecidos previamente.
Consolidar informações preliminares sobre o evento
Em decorrência da natureza das violações à privacidade e a necessidade de atendimento às normas da LGPD, que incluem a comunicação de incidentes envolvendo dados pessoais em prazo razoável, o Encarregado realizará uma consolidação prévia com as informações sobre o evento, contemplando as informações necessárias, recebidas inclusive dos agentes envolvidos, para dar andamento às atividades vinculadas à obrigações legais e normativas.
Identificar quem será comunicado
Em cumprimento às obrigações legais previstas na LGPD, são identificadas, pelo Encarregado, as comunicações necessárias de acordo com a gravidade, com o tipo de violação à privacidade e com a ação de comunicação necessária para o caso específico.
Validar modelos de comunicação
A validação dos modelos de comunicação, elaborados pela Assessoria de Comunicação, será realizada pela unidade administrativa envolvida, Superintendente Executivo e Gabinete da Presidência, bem como o Encarregado, para garantir que todas as comunicações sigam o padrão oficial estabelecido pela Anatel.
Notificar as partes envolvidas
Em cumprimento às obrigações legais previstas na LGPD, o Encarregado providenciará as notificações relatando a ocorrência do Incidente de Violação à Privacidade, suas possíveis implicações aos titulares e as medidas adotadas pela Anatel para resolver o problema e mitigar os danos.
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Caso necessário para a salvaguarda dos direitos dos titulares, seja exigida pela autoridade nacional a ampla divulgação do fato em meios de comunicação, um plano de comunicação específico deverá ser elaborado pela Assessoria de Comunicação.
Consolidar informações definitivas sobre o incidente
Ao término do tratamento do incidente pelas áreas responsáveis, o Encarregado realizará a consolidação das informações sobre o incidente por meio de um Relatório de Incidentes.
Deve constar do referido Relatório no mínimo as seguintes informações: a) atividades realizadas desde o recebimento da notificação do evento até sua completa resolução; b) evidências coletadas; c) falhas identificadas no tratamento de dados pessoais; d) medidas implementadas para minimizar os danos ao titular; e) partes interessadas; f) recomendações da ETIR e do Encarregado para prevenção contra a ocorrência de novas falhas de violação de privacidade.
Divulgar Relatório
Nessa etapa será encaminhado o relatório final às partes envolvidas para conhecimento das ações realizadas, com o objetivo de dar transparência ao processo e possibilitar ações de melhoria contínua no tratamento dos dados pessoais.
Caso o evento tenha ocorrido por processamento de dados pelo Operador, cabe ao Controlador/Unidade administrativa solicitar que o Operador elabore também um Relatório de Incidentes.
Papéis e Responsabilidades
|
Equipe |
Função no PRIR |
|
SERVIDOR/NOTIFICANTE |
Notificar os eventos de violação aos dados pessoais e à privacidade que tenha tido conhecimento. |
|
ETIR |
Equipe que irá realizar a avaliação e categorização de eventos de violação à privacidade. |
|
ETIR/ENCARREGADO |
Equipe que irá realizar o tratamento de incidentes de violação à privacidade. |
|
ENCARREGADO |
Realizará a consolidação de informações veiculadas a eventos de violação à privacidade, a verificação de implicações legais vinculadas ao incidente, a notificação dos envolvidos e atualizar a Presidência acerca do andamento de incidentes de violação à privacidade. |
|
APC |
Realizará o acompanhamento externo de manifestações públicas referentes à violação e publicará notas referentes a incidentes de violação à privacidade. Elabora toda a comunicação externa necessária. |
|
PRESIDÊNCIA |
Realizará o repasse de informações estratégicas para o devido tratamento do incidente de segurança de privacidade. |
|
UNIDADE ADMINISTRATIVA |
Realizará o tratamento de incidentes não cibernéticos de violação à privacidade, identificando os potenciais impactos ao titular dos dados para subsidiar ETIR e Encarregado nas ações de tratamento do incidente. |
|
OPERADOR |
Atuar proativamente em relação ao problema, informando tempestivamente sobre o evento e sobre as medidas de segurança implementadas para mitigar os danos. |
Prazos para Comunicar um Incidente de Segurança de Privacidade à ANPD
Como extraído do site da ANPD, é recomendado que após a ciência do evento adverso e havendo risco relevante, a autoridade nacional seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019 e em virtude da necessidade de gerenciamento dos incidentes de segurança com dados pessoais por parte da ANPD e das consequências danosas que podem ocorrer em razão do atraso nas ações de contenção ou mitigação.
Tipos de Eventos de Violação à Privacidade
Essa é uma lista exemplificativa e não exaustiva.
|
# |
EVENTO |
DESCRIÇÃO DO EVENTO |
|
1 |
Acesso não autorizado |
Acesso indevido (permissões indevidas) a um ambiente físico ou lógico. |
|
2 |
Alteração não autorizada |
Usuário sem permissões de alteração para um determinado dado pessoal ou registro realiza a modificação. Os dados pessoais foram alterados, corrompidos ou não estão mais completos. |
|
3 |
Destruição |
Usuário destrói dados pessoais ou registros de bases de dados de forma que os dados deixam de existir ou não existem mais em uma forma que seja útil para o controlador. |
|
4 |
Perda |
Perdas provocadas por ações intencionais de usuários oriundas de uma exclusão indevida. Os dados ainda podem existir, mas o controlador perdeu o controle ou não possui mais o acesso a eles. |
|
5 |
Comunicação não autorizada |
Dados pessoais são disponibilizados sem consentimento ou conhecimento dos titulares, ou mesmo da Anatel. O processamento pode incluir a divulgação de dados pessoais para (ou acesso por) destinatários que não estão autorizados para receber (ou acessar) os dados, ou qualquer outra forma de processamento que viole a LGPD. |
|
6 |
Ataque cibernético com acesso ou alteração de dados pessoais |
Ocorre um ataque cibernético aos serviços da Anatel e dados pessoais são acessados e/ou alterados. |
|
7 |
Ataque RANSOMWARE |
A Anatel sofre um ataque de ransomware que resulta em todos os dados serem criptografados. Não há backups disponíveis e os dados não podem ser restaurados. Na investigação, fica claro que a única funcionalidade do ransomware era criptografar os dados e que não havia outro malware presente no sistema. |
|
8 |
Vazamento de Informações de terceiros através de meios cibernéticos |
Uma pessoa contata a Anatel para comunicar uma violação de dados onde a mesma teve acesso a dados pessoais de outra pessoa ao acessar algum serviço provido pela Anatel. O responsável pelo tratamento realiza uma investigação preliminar e estabelece com razoável confiança que a violação de dados pessoais ocorreu e se existe uma falha sistêmica que possa significar que outras pessoas são ou podem vir a ser afetadas. |
|
9 |
Envio de e-mail para uma lista aberta |
Os dados pessoais de um grande número de pessoas foram enviados por engano para a lista de correio eletrônico errada. |
|
10 |
Indisponibilidade de acesso a dados |
Os dados tratados pela empresa encontram-se indisponíveis por um período superior a 12 horas em razão de um ataque cibernético. |
|
11 |
Problemas com acesso aos serviços on line através das ferramentas providas pela Anatel |
No caso de impacto aos serviços online providos aos cidadãos, identifica-se um erro no código que controla a autorização do usuário. O efeito da falha significa que qualquer pessoa/bot pode acessar os dados da conta de qualquer outra pessoa. |
|
12 |
Ataque cibernético |
Ocorre um ataque cibernético e o invasor coleta e divulga os usuários e respectivas senhas ou quaisquer outras informações dos titulares dos dados sob tratamento pela Anatel. |
|
13 |
Houve vazamento de vídeos, áudio e/ou imagens de pessoas coletadas dentro da estrutura física da Anatel (CFTV ou webcam ou qualquer dispositivo que capture algum tipo de dado pessoal) |
Existiu um vazamento das filmagens, áudios e/ou imagens de uma pessoa ou um grupo de pessoas |
|
14 |
Transmissão indevida de arquivo com dados pessoais |
Um servidor, colaborador ou terceirizado se equivoca e transmite indevidamente um arquivo contendo dados pessoais, dados pessoais sensíveis, confidenciais ou restritos desrespeitando os normativos vigentes. |
|
15 |
Um servidor da Anatel ou de uma empresa terceirizada obtém acesso não autorizado a dados pessoais |
Neste caso, a informação dos indivíduos afetados origina de sua organização, porém inicialmente foi compartilhada apenas com o propósito de que a empresa terceirizada cumprisse suas obrigações contratuais. |
|
16 |
Tratamento de dados realizado sem o consentimento do titular |
Durante o tratamento de dados, é identificado um conjunto de dados correspondentes a titulares que não permitiram ou revogaram o tratamento dos seus dados. |
|
17 |
Ataque cibernético durante processo de backup ou transferência de arquivos que contém dados de titulares |
Ocorre uma invasão cibernética enquanto há a execução de um ou mais processos de backup ou durante a transferência de arquivos que contém dados de titulares havendo vazamento de informações. |
|
18 |
Impressão com dados pessoais disponível para pessoas não autorizadas visualizarem |
Uma ou mais impressões contendo dados pessoais é deixada ao acesso de qualquer pessoa não autorizada a acessar tais informações. |
|
19 |
Um servidor, colaborador ou terceirizado sai da Anatel levando dados pessoais consigo |
Um indivíduo que detinha acesso a dados pessoais de usuários dos serviços de telecomunicações, de servidores, fornecedores, autorizados ou outorgados ou de qualquer outra pessoa que tenha disponibilizado dados à empresa, ao se desligar da mesma leva consigo tais informações. |
|
20 |
Descarte indevido de dispositivos, equipamentos ou mídias digitais utilizadas para tratamento de dados pessoais. |
Dispositivos, equipamentos ou mídias digitais com dados pessoais sob tutela da Anatel são descartados indevidamente de modo a permitir acesso aos dados pessoais nele contidos. |
|
21 |
Remoção não autorizada de dispositivos, equipamentos ou mídias digitais das dependências da Anatel. |
Dispositivos, equipamentos ou mídias digitais com dados pessoais sob tutela da Anatel retirados ou roubados da Agência e/ou dos servidores. |
Fontes: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052; LGPD: inciso VII, art. 6º
Ação de Comunicação para um Incidente de Privacidade
Funções e Responsabilidades no Gerenciamento das Comunicações
|
Função |
Responsabilidade / Ação |
|
ENCARREGADO |
Define quais informações serão comunicadas; encaminha notificação e/ou comunicações às partes envolvidas conforme pertinência e relevância do incidente. |
|
ASSESSORIA DE COMUNICAÇÃO |
Emitir comunicações internas e para os meios de comunicação externos conforme especificação do Encarregado e do PR |
|
GABINETE DA PRESIDÊNCIA/UNIDADE ADMINISTRATIVA/SUPERINTENDENTE EXECUTIVO/ENCARREGADO |
Define a linha de comunicação |
|
PRESIDÊNCIA |
Define a estratégia de comunicação nos casos em que exige comunicação à ANPD e naqueles casos em que a ANPD exigir ampla divulgação do fato em meios de comunicação (LGPD: I, § 2º, art. 48) |
Matriz de Comunicação
|
Tipo de Evento |
Notificar a ANPD? |
Notificar o indivíduo titular do dado? |
Observações/Recomendações |
|
O administrador armazenou dados pessoais em um arquivo de backup criptografados com uma chave USB. A chave é roubada durante um incidente |
Não |
Não |
Enquanto os dados estão criptografados com um algoritmo forte, os backups dos dados e a chave não foram comprometidos, sendo assim os dados podem ser restaurados. No entanto, se for posteriormente comprometida, a notificação é necessária |
|
O administrador mantém um serviço on-line. Após um ataque cibernético no serviço, os dados pessoais dos indivíduos são extraviados |
Sim, reportar à ANPD se existem consequências prováveis para os indivíduos titulares dos dados |
Sim, informar aos indivíduos, dependendo da natureza dos dados pessoais afetados e se a gravidade das prováveis consequências para os indivíduos é alta |
|
|
O administrador sofre um ataque de ransomware que resulta em todos os dados serem criptografados. Não há backups disponíveis e os dados não podem ser restaurados. Na investigação pela ETIR fica claro que a única funcionalidade do ransomware era criptografar os dados e que não havia outro malware presente no sistema |
Sim, informar à ANPD, se houver prováveis consequências para os indivíduos, pois esta é uma perda de disponibilidade |
Sim, informar aos indivíduos dependendo da natureza dos dados pessoais afetados e do possível efeito da falta de disponibilidade dos dados, bem como de outras consequências prováveis |
Se houvesse um backup disponível e os dados pudessem ser restaurados em tempo útil, isso não precisaria ser reportado à ANPD ou aos indivíduos, pois não haveria perda permanente de disponibilidade ou confidencialidade. No entanto, se a ANPD tomou conhecimento do incidente por outros meios, pode considerar uma investigação para avaliar o cumprimento dos requisitos de segurança mais amplos do art. 46 da LGPD. |
|
Um indivíduo telefona para o call center da Anatel para denunciar uma violação de dados, onde o mesmo recebeu informações de contas telefônicas de outras pessoas. O administrador realiza uma investigação junto às operadoras (por exemplo, dentro de 24 horas) e identifica que ocorreu uma violação de dados pessoais e possui uma falha sistêmica que pode significar que outras pessoas foram ou podem ser afetadas |
Sim, informar à ANPD que a Anatel recebeu a denúncia e está apurando junto às operadoras |
Não cabe à Anatel a comunicação aos indivíduos mas sim às operadoras. Somente os indivíduos afetados são notificados caso o risco seja alto.
|
Caso após uma investigação mais profunda, identificar-se que mais indivíduos foram afetados, a ANPD deve ser atualizada pela Operadora (s) responsável (is) e notificar os demais indivíduos se houver risco alto para os mesmos. Cabe à Anatel neste caso acompanhar os fatos. |
Os eventos de violação à privacidade devem ser estudados para verificar se podem acarretar risco ou dano relevante aos titulares que justifiquem a sua comunicação à ANPD e aos indivíduos titulares dos dados.
A tabela acima foi construída como modelo, considerando as orientações da ANPD que sugere que o controlador avalie internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular. Para tanto, a ANPD sugere responder internamente as seguintes perguntas:
1. Ocorreu um incidente de segurança relacionado a dados pessoais?
☐Sim – Próxima pergunta.
☐Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.
2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?
☐Sim – Comunique à ANPD e ao titular.
☐Não – A comunicação à ANPD não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.
Segundo a ANPD, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
Outra questão que deve ser analisada é o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.
O quê Comunicar à ANPD
A ANPD já disponibilizou o formulário que deve ser preenchido pelo Controlador para a comunicação de um incidente de segurança, bem como a utilização do SEI para peticionar junto à autoridade. O EAPD transferiu o formulário disponibilizado pela ANPD para facilitar o preenchimento pelas áreas envolvidas.
O Formulário está disponível em Comunicação à ANPD.
Seguem as orientações da ANPD acerca do que deve ser comunicado a ela:
As informações devem ser claras e concisas. Além do que prescreve o § 1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:
Identificação e dados de contato de:
Entidade ou pessoa responsável pelo tratamento.
Encarregado de dados ou outra pessoa de contato.
Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
Informações sobre o incidente de segurança com dados pessoais:
Data e hora da detecção.
Data e hora do incidente e sua duração.
Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados
Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.
Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
Resumo das medidas implementadas até o momento para controlar os possíveis danos.
Possíveis problemas de natureza transfronteiriça.
Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, a ANPD esclarece que informações adicionais poderão ser fornecidas posteriormente.
No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.
Revisão do PRIR
O Plano de Resposta e Incidentes de Privacidade e Remediação - PRIR poderá ser revisitado para contemplar orientações específicas da ANPD ou quaisquer instruções normativas.
O Plano deverá ser atualizado sempre que necessário, para fazer frente aos desafios relacionados à segurança com dados pessoais.
| Referência: Processo nº 53500.023086/2021-15 | SEI nº 6829892 |