Artigo
Artigo
Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre!
Um ditado é certo, “ou uma empresa já foi, está sendo ou será alvo, muito em breve, de um ataque cibernético”. E quando isso acontecer é preciso estar preparado para uma resposta rápida e adequada, principalmente quando envolver dados pessoais, a fim de minimizar os impactos para os titulares.
O cenário atual não é muito diferente de alguns anos passados. Incidentes como vazamentos de dados pessoais nos atingem a cada leitura matinal dos noticiários. Chega a ser até assustador, como no caso bem recente do mega vazamento que expos 16 bilhões de senhas de 30 bancos de dados diferentes.
No Brasil, a lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), trouxe algumas obrigações para com os titulares de dados pessoais, que devem ser seguidas por todas as empresas, sejam públicas ou privadas, ou qualquer tipo de organização que atue no papel de agente de tratamento de dados pessoas, seja como Controlador ou Operador. Cada um, porém, com suas responsabilidades específicas.
O art. 46 da LGPD determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Já o art. 48 da LGPD determina que é dever do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular de dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, ação que se dá no processo de Comunicação de Incidente de Segurança (CIS).
Resolução CD/ANPD nº 15/2024: um guia para a comunicação
Para deixar claro como essa comunicação deve ser feita, a ANPD publicou a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS). Essa resolução é fundamental porque detalha como, quando e o que deve ser comunicado.
De acordo com a Resolução CD/ANPD nº 15/2024, “um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.” Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
Incidentes de segurança com dados pessoais não são só vazamentos de dados!
Os incidentes de segurança com dados pessoais (IDP) não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade de dados pessoais, como: a indisponibilidade prolongando de sistema em um momento crítico, impedindo o exercício de direitos que possam acarretar danos aos titulares de dados pessoais. Ou ainda, a perda de dados pessoais devido a uma falha operacional.
Cabe ressaltar que a CIS se destina exclusivamente aos Controladores de dados pessoais. Quando um incidente de segurança ocorre, o Operador deverá informar o fato, sem demora injustificada, ao controlador dos dados. Todas as informações necessárias à comunicação do incidente de segurança à ANPD e aos titulares deverão ser fornecidas pelo Operador ao Controlador. Esse fluxo de comunicação fica bem claro na imagem abaixo:
Fluxo do CIS. Fonte: ANPD
O art. 6º do RCIS estabelece que a comunicação de incidente de segurança com dados pessoais à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. O prazo será contado do conhecimento pelo controlador de que o incidente afetou dados pessoais.
Em caso de comunicações preliminares, onde o controlador ainda não possui todas as informações sobre o incidente, as informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.
Nem todo incidente de segurança deve ser comunicado
A ANPD também orienta que nem todo incidente de segurança deve ser comunicado. Cabe ao controlador avaliar os riscos e impactos aos titulares decorrentes do incidente e verificar a necessidade de realizar a comunicação. Sendo assim, é importante que antes de realizar a comunicação o Controlador realize uma avaliação de acordo com o art. 5º do RICS, que esclarece o conceito de risco e dano relevante aos titulares, quando define que:
“o incidente de segurança pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios: dados pessoais sensíveis; dados de crianças, de adolescentes ou de idosos; dados financeiros; dados de autenticação em sistemas; dados protegidos por sigilo legal, judicial ou profissional; ou dados em larga escala”.
Critérios cumulativos para comunicação. Fonte: ANPD
O que é considerado um risco do dano relevante. Fonte: Serpro
A imagem acima demonstra uma visão geral do que deve ser levado em consideração para avaliar um risco ou dano relevante. O RCIS traz orientações do que deve ser avaliado, porém não detalha o como. Por isso é importante que o controlador elabore um método de avaliação do risco ou dano relevante aos titulares, que leve em consideração melhores práticas e normativos internacionais, como ABNT NBR ISO/IEC 29134, ABNT NBR ISO/IEC 27557 e os guias orientativos das agências reguladoras (supervisoras) da união europeia, como CNIL, ICO e AEPD. Não esquecendo, que esse método deve estar alinhado também com a metodologia de riscos corporativos. Além de ser recomendado que o método faça parte um Plano de Resposta a Incidentes de Segurança com Dados Pessoais.
No Serpro
Desde antes do início da vigência da LGPD, o Serpro já demostrava preocupação com as obrigações de avaliação e comunicação dos incidentes com envolvimento de dados pessoais. Na ocasião, ocorreram importantes alinhamentos internos com as equipes que, de fato, já realizavam o tratamento de incidentes, como as equipes do Centro de Operações de Segurança (SOC), para incidentes cibernéticos; Centro de Operações, para incidentes de indisponibilidade de serviços e Gestão Logística, para incidentes em meios físicos.
Como resultado, foi elaborado o Plano de Resposta a Incidentes de Segurança com Dados Pessoais (PRIDP), onde foram definidos critérios com cada equipe para identificação de dados pessoais nos incidentes e notificação da equipe do Encarregado (Privacidade e Proteção de Dados Pessoais) para adoção das providências necessárias de acordo com o RCIS. Esse fluxo é demostrado na figura abaixo:
Comunicação de incidentes de segurança com DP. Fonte: Serpro
Para atender ao art. 5º do RICS, foi definido um método com propósito de mensurar o risco ou dano relevante aos titulares de dados pessoais. No método, os índices de risco são obtidos pelo cruzamento entre os níveis de probabilidade e de impacto em uma matriz de riscos. Esse método faz parte do PRIDP.
Para mensurar o impacto, foram definidos critérios relacionados aos pilares da segurança da informação, como:
- avaliar o contexto em que os dados são tratados, levando-se em conta dados pessoais (triviais), dados pessoais sensíveis e tratamentos de dados em larga escala, por exemplo;
- avaliar a facilidade de identificar os titulares;
- a relevância dos dados pessoais;
- se houve impedimento na utilização de um serviço e a circunstância da violação, levando em consideração também se houve uma intenção maliciosa no incidente.
Já a probabilidade é mensurada pela chance de o evento de risco acontecer, ou seja, é o quanto um evento de risco está sujeito a algum tipo de ameaça, dentro de determinado período. É importante que seja avaliada a probabilidade que o incidente de segurança com dados pessoais ocorrido tem de afetar significativamente interesses e direitos fundamentais dos titulares.
Uma vez identificado o impacto e a probabilidade de um incidente de segurança com dados pessoais afetar significativamente interesses e direitos fundamentais, é possível identificar o nível de risco ou dano relevante aos titulares e, consequentemente, as providências recomendadas a serem adotadas no caso real, que podem ser:
| Nível de risco ou dano relevante aos titulares | Providências |
|---|---|
| Baixo | Registrar o incidente para análise e futura prestação de contas, caso necessário. |
| Médio | Avaliar a divulgação no sítio da empresa de informações do incidente de segurança com dados pessoais e procedimentos que possam ser adotados para que o titular não sofra maiores impactos. |
| Alto | Comunicar os titulares envolvidos de forma personalizada ou, caso não seja possível, disparar nota pública detalhada à imprensa e divulgar de forma ampla no sítio da empresa instruções e procedimento que possam ser adotados para que o titular não sofra maiores impactos. Comunicar a Autoridade de Proteção de Dados (ANPD). |
Tabela de nível de risco ou dano relevante aos titulares. Fonte: Serpro
Conclusão
Incidentes de segurança com dados pessoais são, de fato, um pesadelo no mundo atual! É essencial que os agentes de tratamento estejam prontos, o quanto antes, para uma resposta imediata, minimizando os impactos para os titulares. Para isso, um plano de resposta a incidentes com dados pessoais deve ser elaborado.
Um ponto crucial da Resolução CD/ANPD nº 15/2024 é a definição de "incidente de segurança". Nem todo evento que afeta a segurança da informação é um incidente no sentido da LGPD e da Resolução. Para ser considerado um incidente que exige comunicação, ele precisa "poder acarretar risco ou dano relevante aos titulares".
Isso significa que que o plano de resposta a incidentes com dados pessoais da organização deve possuir um método de avaliação do risco ou dano relevante aos titulares, que identifique as necessidades de comunicação à ANPD, aos titulares ou até mesmo ao Controlador, quando a organização estiver no papel de Operador. São ações importantes para a conformidade com a Resolução CD/ANPD nº 15/2024.
Referências
BRASIL. LEI Nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 09/07/2025.
ANPD. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Regulamento de Comunicação de Incidente de Segurança (RCIS). Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024. Acessado em 09/07/2025.
ANPD. Comunicação de Incidentes de Segurança. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis. Acessado em: 09/07/2025.
__________________
Sobre o autor
Leandro Oliveira Campos é pós-graduando em Direito Digital, Dados e Inteligência Artificial (IDP); Pós-Graduado em Gestão Pública (UnB); Graduado em Tecnologia em Informática (UniverCidade). Possui as certificações: Privacidade e Proteção de Dados (Data Privacy Brasil); Privacy by Design (ISO 31700); Lead Implementer ABNT NBR ISO/IEC 27701; Lead Auditor BS ISO/IEC 27001; Encarregado de Dados (Serpro/Datashield) e Gestor de Dados (Serpro/Datashield). Membro da Comissão de Estudo de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade da ABNT (CE-021:004.027). Profissional com mais de 25 anos de experiência, atuando na área de Tecnologia da Informação, Gestão de Segurança da Informação, Gestão de Riscos e Gestão de Continuidade de Negócios. Ingressou no Serpro em 2007 no cargo de Analista de Redes de Computadores. Atualmente faz parte da equipe do Departamento de Privacidade e Proteção de Dados Pessoais, atuando principalmente nas atividades de revisão e elaboração de normas corporativas de segurança da informação, privacidade e proteção de dados pessoais, na gestão de incidentes de segurança com dados pessoais, gestão de riscos e gestão de conformidade em privacidade e proteção de dados pessoais.