Plano de Resposta a Incidentes

Question 1

Qual é o principal objetivo da Resolução CD/ANPD nº 15/2024?

Answer 1

Estabelecer os procedimentos para Comunicação de Incidente de Segurança que possa acarretar risco ou dano relevante aos titulares, conforme o art. 48 da LGPD.

Question 2

Quem deve comunicar o incidente de segurança à ANPD?

Answer 2

O controlador.

Question 3

A quem mais o incidente de segurança deve ser comunicado, além da ANPD?

Answer 3

Ao titular dos dados.

Question 4

Quais são os critérios para determinar se um incidente de segurança pode acarretar risco ou dano relevante aos titulares?

Answer 4

Se puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver dados pessoais sensíveis, de crianças, adolescentes ou idosos, financeiros, de autenticação em sistemas, protegidos por sigilo legal, judicial ou profissional, ou em larga escala.

Question 5

O que caracteriza um incidente de segurança que afeta significativamente interesses e direitos fundamentais?

Answer 5

Situações que impedem o exercício de direitos ou a utilização de um serviço, ou que ocasionam danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Question 6

Como é definido um incidente com dados em larga escala?

Answer 6

Aquele que abrange um número significativo de titulares, considerando o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.

Question 7

Em que prazo a comunicação de incidente de segurança deve ser realizada?

Answer 7

Em até três dias úteis, a contar do conhecimento pelo controlador de que o incidente afetou dados pessoais, ressalvada a existência de prazo para comunicação previsto em legislação específica.

Question 8

Quais dados de identificação do controlador devem ser informados na comunicação do incidente?

Answer 8

A identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte.

Question 9

A comunicação de incidente de segurança à ANPD pode ser complementada? Em que prazo?

Answer 9

Sim, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.

Question 10

Como deve ser feita a comunicação de incidente de segurança à ANPD?

Answer 10

Por meio de formulário eletrônico disponibilizado pela ANPD.

Question 11

Quem deve realizar a comunicação de incidente de segurança?

Answer 11

O controlador, por meio do encarregado, acompanhado de documento comprobatório de vínculo, ou por representante constituído, acompanhado de instrumento com poderes de representação.

Question 12

O que acontece se o controlador não apresentar os documentos de comprovação de vínculo ou representação?

Answer 12

A ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração de incidente de segurança.

Question 13

Os prazos para comunicação do incidente são diferentes para agentes de pequeno porte?

Answer 13

Sim, os prazos são contados em dobro para agentes de pequeno porte.

Question 14

O controlador pode solicitar sigilo de alguma informação na comunicação do incidente?

Answer 14

Sim, de maneira fundamentada, para informações protegidas por lei, como segredo comercial ou industrial.

Question 15

A ANPD pode solicitar informações adicionais ao controlador sobre o incidente?

Answer 15

Sim, a qualquer tempo, estabelecendo prazo para o envio das informações.

Question 16

Quais documentos a ANPD pode solicitar ao controlador?

Answer 16

Registro das operações de tratamento dos dados pessoais afetados, relatório de impacto à proteção de dados pessoais (RIPD) e relatório de tratamento do incidente.

Question 17

Em que prazo deve ser realizada a comunicação de incidente de segurança ao titular?

Answer 17

Em três dias úteis, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais.

Question 18

Quais informações devem constar na comunicação de incidente de segurança ao titular?

Answer 18

Descrição da natureza e categoria de dados pessoais afetados, medidas de segurança utilizadas, riscos relacionados ao incidente, motivos da demora (se houver), medidas adotadas para mitigar os efeitos, data do conhecimento do incidente e contato para informações.

Question 19

Como deve ser a linguagem utilizada na comunicação ao titular?

Answer 19

Simples e de fácil entendimento.

Question 20

A comunicação ao titular deve ser sempre individualizada?

Answer 20

Sim, caso seja possível identificá-los.

Question 21

Quais meios são considerados para comunicação direta e individualizada ao titular?

Answer 21

Meios usualmente utilizados pelo controlador para contatar o titular, como telefone, e-mail, mensagem eletrônica ou carta.

Question 22

O que fazer se a comunicação direta e individualizada for inviável?

Answer 22

O controlador deve comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, como seu sítio eletrônico, aplicativos, mídias sociais e canais de atendimento, de modo que a comunicação permita o conhecimento amplo, com direta e fácil visualização, por, no mínimo, três meses.

Question 23

O que o controlador deve juntar ao processo de comunicação de incidente?

Answer 23

Uma declaração de que foi realizada a comunicação aos titulares, constando os meios de comunicação ou divulgação utilizados, em até três dias úteis do término do prazo para comunicação.

Question 24

A inclusão de recomendações para mitigar os efeitos do incidente na comunicação ao titular é considerada boa prática?

Answer 24

Sim.

Question 25

O prazo para comunicação ao titular é diferente para agentes de pequeno porte?

Answer 25

Sim, é contado em dobro.

Question 26

Por quanto tempo o controlador deve manter o registro do incidente de segurança, inclusive daquele não comunicado?

Answer 26

Pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo.

Question 27

Quais informações devem constar no registro do incidente de segurança?

Answer 27

Data de conhecimento do incidente, descrição geral das circunstâncias, natureza e categoria de dados afetados, número de titulares afetados, avaliação do risco e danos, medidas de correção e mitigação, forma e conteúdo da comunicação (se houver) e motivos da ausência de comunicação (se for o caso).

Question 28

As regras de guarda do registro de incidente se aplicam às entidades do art. 23 da LGPD?

Answer 28

Não, desde que observadas as regras aplicáveis aos documentos de guarda permanente previstas na tabela de temporalidade própria ou definidas pelo Conselho Nacional de Arquivos.

Question 29

Qual o objeto do processo de comunicação de incidente de segurança?

Answer 29

A fiscalização de atos relacionados ao tratamento e resposta ao incidente que possa acarretar risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares.

Question 30

O que a ANPD pode fazer para obter informações complementares sobre o incidente?

Answer 30

Realizar ou determinar a realização de auditorias ou inspeções junto aos agentes de tratamento.

Question 31

Como se inicia o processo de comunicação de incidente de segurança?

Answer 31

De ofício, no caso de procedimento de apuração, ou com o recebimento da comunicação, devidamente formalizada, no caso de procedimento de comunicação.

Question 32

A ANPD pode analisar os processos de comunicação de forma agregada?

Answer 32

Sim, e as providências deles decorrentes podem ser adotadas de forma padronizada, conforme o planejamento da fiscalização.

Question 33

A ANPD pode determinar ao controlador a adoção de medidas imediatas?

Answer 33

Sim, para salvaguardar direitos dos titulares, a fim de prevenir, mitigar ou reverter os efeitos do incidente e evitar dano grave e irreparável ou de difícil reparação.

Question 34

A ANPD pode aplicar multa diária em caso de descumprimento das determinações?

Answer 34

Sim, na forma do Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

Question 35

O que é o procedimento de apuração de incidente de segurança?

Answer 35

Procedimento por meio do qual a ANPD apura a ocorrência de incidentes não comunicados pelo controlador.

Question 36

A ANPD pode requisitar informações ao controlador no procedimento de apuração?

Answer 36

Sim.

Question 37

O que a ANPD faz após constatar a ocorrência de incidente no procedimento de apuração?

Answer 37

Determina ao controlador o envio da comunicação à Autoridade e aos titulares, observados os prazos e condições dos arts. 6º e 9º.

Question 38

A ANPD pode instaurar processo administrativo sancionador no procedimento de apuração?

Answer 38

Sim, para apurar o descumprimento dos arts. 6º e 9º.

Question 39

O que acontece após a realização da comunicação de incidente no procedimento de apuração?

Answer 39

Aplica-se o procedimento de comunicação de incidente de segurança estabelecido na Seção III.

Question 40

Como é iniciado o procedimento de comunicação de incidente de segurança?

Answer 40

Com o recebimento da comunicação do incidente pela ANPD, devidamente formalizada.

Question 41

Onde a comunicação do incidente deve ser recebida?

Answer 41

Exclusivamente por meio de canal específico, conforme orientação publicada no sítio eletrônico da ANPD.

Question 42

O que a ANPD pode determinar ao controlador após avaliar a gravidade do incidente?

Answer 42

Adoção de providências para a salvaguarda dos direitos dos titulares, como ampla divulgação do incidente e medidas para reverter ou mitigar os efeitos.

Question 43

Quando a ANPD pode determinar a ampla divulgação do incidente?

Answer 43

Quando a comunicação realizada pelo controlador mostrar-se insuficiente para alcançar parcela significativa dos titulares afetados.

Question 44

A ampla divulgação do incidente se confunde com a sanção de publicização da infração?

Answer 44

Não.

Question 45

O que será considerado na determinação das medidas para reverter ou mitigar os efeitos do incidente?

Answer 45

Aquelas que possam garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, bem como minimizar os efeitos decorrentes do incidente para os titulares.

Question 46

A ANPD pode divulgar informações sobre incidentes de segurança?

Answer 46

Sim, em seu sítio eletrônico, informações estatísticas agregadas relativas aos incidentes de segurança, como medida de transparência ativa.

Question 47

O que acontece se o controlador não adotar as medidas para reverter ou mitigar os efeitos do incidente?

Answer 47

A ANPD pode instaurar processo administrativo sancionador.

Question 48

As providências determinadas pela ANPD são consideradas sanções?

Answer 48

Não, são equiparadas às medidas decorrentes da atividade preventiva.

Question 49

Em que hipóteses o processo de comunicação de incidente de segurança será extinto?

Answer 49

Se não forem identificadas evidências suficientes da ocorrência, se a ANPD considerar que o incidente não possui potencial para acarretar risco ou dano relevante, se o incidente não envolver dados pessoais, se todas as medidas adicionais para mitigação ou reversão dos efeitos forem tomadas, ou se a comunicação aos titulares e adoção das providências pertinentes forem realizadas em conformidade com a LGPD e as determinações da ANPD.

Question 50

Mesmo com a extinção do processo, a ANPD pode determinar medidas de segurança?

Answer 50

Sim, diretamente relacionadas ao incidente, para salvaguardar os direitos dos titulares.