Comunicar Violação de Dados

Incidente de segurança com dados Pessoais

Acidental - como o envio de informações para o destinatário incorreto

É um evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais.

atos intencionais - como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.


Um incidente precisa ser comunicado se atender:

  1. Envolva dados pessoais sujeitos à LGPD.
  1. Acarrete risco ou dano relevante aos titulares dos dados.
  1. Tenha a ocorrência confirmada pelo agente

Prazo de comunicação: em até 2 (dois) dias úteis da ciência do fato

Papel do Operador: tem a obrigação legal de comunicar o incidente de segurança aos titulares e à ANPD é do controlador, nos termos do art. 48 da LGPD.

O comunicado à ANPD deve conter:

  1. riscos e consequências aos titulares de dados;
  1. medidas tomadas pelo controlador e as recomendadas aos titulares para mitigar os efeitos do incidente, se cabíveis;
  1. descrição dos dados pessoais afetados;
  1. dados de contato do encarregado do controlador para que os titulares possam solicitar informações adicionais a respeito do incidente.
  1. resumo e data da ocorrência do incidente;

Quando as sanções serão aplicadas?

Não comunicar o incidente aos titulares de dados pessoais afetados;

Não adotar medidas de segurança técnicas e administrativas compatíveis aos riscos de suas atividades de tratamento de dados.

Não comunicar o incidente à ANPD e aos titulares em tempo razoável;

A ANPD poderá solicitar ao controlador, a qualquer tempo, a apresentação de cópia do comunicado aos titulares para fins de fiscalização.
Não é necessário encaminhar à ANPD a lista de titulares afetados, ou seus dados de contato para comprovação da comunicação.

O que deve ser considerado numa avaliação?

Os tipos e quantidade de dados violados;

Os potenciais danos materiais, morais, reputacionais causados aos titulares;


As categorias e quantidades de titulares afetados;

Se os dados violados estavam protegidos de forma a impossibilitar a identificação de seus titulares;

O contexto da atividade de tratamento de dados;

As medidas de mitigação adotadas pelo controlador após o incidente