Um incidente de segurança, no contexto de tecnologia da informação e segurança cibernética, é uma ocorrência que representa uma ameaça ou violação da segurança de sistemas, redes, dados ou informações confidenciais. Esses incidentes de segurança podem variar em gravidade e impacto, desde ameaças menores até violações significativas que comprometem a integridade, a confidencialidade ou a disponibilidade de informações críticas.
Um incidente de segurança com dados pessoais é um evento adverso, confirmado, relacionado à violação dos dados pessoais, acidental ou ilícito, que envolve a exposição, acesso não autorizado, perda, destruição, alteração, vazamento, divulgação ou qualquer forma de tratamento inadequada ou ilícita de informações pessoais, o que pode resultar em riscos para a privacidade e a segurança das pessoas que possam ocasionar risco para os direitos e liberdades dos titulares de dados.
Esses incidentes podem ocorrer em várias situações e ambientes, incluindo organizações, serviços online, redes sociais e outras plataformas que lidam com informações pessoais.
O dano ao titular pode ser das mais diversas naturezas, como fraudes, tentativas de golpes, uso indevido dos dados, venda dos dados, etc.
Tipos de Incidentes com Dados Pessoais
Existem vários tipos de incidentes de segurança de dados pessoais que podem ocorrer, e eles variam em termos de gravidade e impacto.
Alguns exemplos de tipos comuns de incidentes de segurança de dados pessoais abaixo:
1- Violação de Dados Pessoais: Isso envolve o acesso não autorizado, coletados, divulgados, passados para terceiros, roubo ou comprometimento de dados pessoais. Isso pode envolver a exposição de informações confidenciais, como nomes, endereços, números de segurança social, números de cartão de crédito, registros médicos ou qualquer outra informação que possa ser usada para identificar ou prejudicar a privacidade dos indivíduos a quem os dados pertencem.
2- Phishing: Os ataques de phishing envolvem o envio de e-mails fraudulentos que induzem as pessoas a fornecer informações pessoais, como senhas ou números de cartão de crédito, acreditando que estão interagindo com uma fonte legítima.
3- Ransomware: O ransomware é um tipo de malware que criptografa os dados de uma vítima e exige um resgate para desbloqueá-los. Isso pode afetar dados pessoais e causar impactos significativos.
4- Ataque de Engenharia Social: Isso envolve a manipulação de pessoas para divulgar informações pessoais, como senhas ou detalhes de acesso, por meio de táticas de engenharia social.
5- Perda ou Roubo de Dispositivos: Quando dispositivos, como laptops, smartphones ou unidades de armazenamento, que contêm dados pessoais são perdidos ou roubados.
6- Acesso Não Autorizado: Quando indivíduos não autorizados obtêm acesso a sistemas, redes ou informações pessoais.
7- Erros Internos: Incidentes causados por funcionários ou membros da organização, como o envio acidental de informações confidenciais para a pessoa errada.
8- Violação de Privacidade Online: Isso envolve a coleta ou compartilhamento não autorizado de informações pessoais online, muitas vezes em violação das políticas de privacidade.
9- Ataque a Redes Sociais: Comprometimento de contas de redes sociais que contenham informações pessoais e informações de contato.
10- Fraude Eletrônica: Atividades fraudulentas, como falsificação de transações financeiras ou manipulação de registros.
11- Ataques de Negação de Serviço (DDoS): Tentativas de sobrecarregar servidores e redes para tornar serviços inacessíveis para usuários legítimos, muitas vezes afetando dados pessoais.
A gravidade de um incidente de segurança de dados pessoais pode variar dependendo de vários fatores, incluindo o tipo de dados envolvidos, a quantidade de dados afetados, os riscos para os titulares de dados e as medidas de segurança em vigor para proteger esses dados. Independentemente do tipo, é essencial que as organizações estejam preparadas para responder a esses incidentes de maneira eficaz para minimizar o impacto sobre a privacidade e a segurança dos titulares de dados.
Quando houver uma violação de dados pessoais, pode haver riscos substanciais para a privacidade e segurança dos titulares dos dados. Em muitos países, incluindo o Brasil, regulamentações de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD), impõem a obrigação de notificar incidentes de segurança de dados pessoais às autoridades competentes e aos titulares dos dados afetados.
A Comunicação do Incidente de Segurança

A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) de um incidente de segurança de dados pessoais é um processo essencial para cumprir as obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD) no Brasil. A LGPD exige que as organizações notifiquem a ANPD sobre incidentes que possam resultar em riscos para os direitos e liberdades dos titulares de dados.
Artigo 48º – O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
- 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
- I – a descrição da natureza dos dados pessoais afetados;
- II – as informações sobre os titulares envolvidos;
- III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- IV – os riscos relacionados ao incidente;
- V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
- VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
- 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
- I – ampla divulgação do fato em meios de comunicação; e
- II – medidas para reverter ou mitigar os efeitos do incidente.
- 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
A ANPD recomenda que os controladores adotem posição de cautela, de modo que a comunicação de incidentes de segurança seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.
Como fazer a Comunicação à ANPD
A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) de um incidente de segurança de dados pessoais é um processo essencial para cumprir as obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD) no Brasil. A LGPD exige que as organizações notifiquem a ANPD sobre incidentes que possam resultar em riscos para os direitos e liberdades dos titulares de dados. Aqui estão os passos gerais para comunicar um incidente à ANPD:
- Avaliação do Incidente: Primeiro, a organização deve avaliar a gravidade do incidente e determinar se ele atende aos critérios de notificação à ANPD. Os critérios podem incluir a natureza dos dados afetados, o volume de dados, as consequências para os titulares dos dados e outros fatores.
- Registro Interno: A organização deve documentar detalhadamente o incidente, incluindo informações sobre a natureza do incidente, as datas e horários relevantes, as medidas de segurança envolvidas, as possíveis causas e os impactos.
- Notificação à ANPD: Se o incidente atender aos critérios de notificação, a organização deve notificar a ANPD dentro do prazo especificado pela LGPD. A notificação deve conter informações como a descrição do incidente, as medidas adotadas ou a serem adotadas, a data da descoberta, o número de titulares de dados afetados, os tipos de dados envolvidos e outras informações relevantes.
- Notificação aos Titulares dos Dados: Além de notificar a ANPD, a organização também pode ser obrigada a notificar os titulares dos dados afetados pelo incidente, especialmente se o incidente apresentar riscos para os direitos e liberdades dos titulares. A notificação aos titulares deve conter informações sobre o incidente, os riscos associados e as medidas que estão sendo tomadas para mitigar esses riscos.
- Cooperação com a ANPD: A organização deve cooperar totalmente com a ANPD durante qualquer investigação subsequente. Isso pode incluir a prestação de informações adicionais, documentação e evidências relacionadas ao incidente.
- Aprimoramento das Medidas de Segurança: A organização também deve tomar medidas para corrigir e aprimorar suas práticas de segurança de dados para evitar futuros incidentes semelhantes.
- Registro e Documentação: É importante manter registros detalhados de todas as etapas do processo de notificação à ANPD, incluindo cópias das notificações, respostas e ações tomadas.
A comunicação precisa ser bastante detalhada, acompanhada de documentos, como o relatório do incidente de segurança, que auxilia a ANPD a avaliar o incidente, os riscos e as medidas tomadas. Cumprir com as obrigações de notificação de incidentes de segurança de dados pessoais é fundamental para garantir a conformidade com a LGPD e proteger os direitos dos titulares de dados. A ANPD pode fornecer orientações adicionais sobre o processo de notificação e quais informações específicas devem ser incluídas em uma notificação de incidente. Portanto, é importante estar ciente das diretrizes e regulamentos da ANPD em relação a incidentes de segurança de dados pessoais.
A ANPD disponibiliza um formulário para comunicação de incidentes no link abaixo:
https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis.
Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais e o Prazo
No Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais publicado em 02/05/2023 pela ANPD, é definido que o prazo deverá ser de 3 dias úteis conforme o artigo 6º desse regulamento abaixo:
Art. 6º A comunicação do incidente de segurança com dados pessoais à ANPD deverá ser realizada pelo controlador, no prazo de três dias úteis, ressalvada a existência de legislação específica, contados do conhecimento do incidente de segurança, sempre que o incidente possa acarretar risco ou dano relevante aos titulares afetados, e deve conter as seguintes informações:
I – a descrição da natureza e da categoria de dados pessoais afetados;
II – o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;
III – as medidas de segurança para a proteção dos dados pessoais adotadas antes e após o incidente;
IV – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V – os motivos da comunicação do incidente não ter sido realizada no prazo, se for o caso;
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;
VII – a data e a hora do conhecimento do incidente de segurança;
VIII – os dados do encarregado, quando aplicável, ou do comunicante, acompanhado, nesta hipótese, de procuração ou outro instrumento com poderes para representar o controlador junto à ANPD;
IX – os dados de identificação do controlador e, se cabível, declaração de tratar-se de agente de tratamento de pequeno porte;
X – as informações sobre o operador, quando aplicável;
XI – a declaração de que foi realizada a comunicação aos titulares, nos termos do art. 10 deste Regulamento;
XII – a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e
XIII – o total de titulares cujos dados são tratados pela organização e na atividade de tratamento afetada pelo incidente.
§ 1º Excepcionalmente, as informações poderão ser complementadas, no prazo de vinte dias úteis, a contar do momento em que o controlador tomou conhecimento do incidente, prorrogável uma vez, por igual período, mediante solicitação fundamentada a ser avaliada pela ANPD.
§ 2º A comunicação do incidente de segurança deverá ocorrer por meio de formulário eletrônico, disponibilizado pela ANPD.
§ 3º A comunicação do incidente de segurança não será admitida quando apresentada por pessoa sem legitimidade;
§ 4º Caso o controlador seja representado por advogado, este poderá efetuar a comunicação sem procuração, obrigando-se a apresentá-la no prazo de até quinze dias úteis, a contar da data da comunicação, sob pena desta não ser admitida.
§ 5º Nas hipóteses de não admissão da comunicação do incidente previstas nos §§ 3º e 4º, a ANPD poderá apurar a ocorrência do incidente de segurança por meio do procedimento de apuração de incidente de segurança, sem prejuízo da instauração de processo administrativo sancionador para avaliar o descumprimento do previsto nos arts. 6º e 9º deste Regulamento.
§ 6º O prazo constante no caput deste artigo conta-se em dobro para os agentes de pequeno porte, nos termos do disposto no Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD) aos agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022.
Art. 7º Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial.
Art. 8º A ANPD poderá, a qualquer tempo, solicitar informações adicionais ao controlador, referentes ao incidente de segurança, inclusive o registro das operações de tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo para o envio das informações.
Desta forma, é fundamental que as organizações notifiquem a ANPD e cumpram com as obrigações de notificação e resposta a incidentes de segurança de dados pessoais conforme exigido pela legislação para garantir o cumprimento da LGPD e proteger os direitos dos titulares de dados.