A ocorrência de incidentes de segurança envolvendo dados pessoais é uma realidade que nenhuma organização pode ignorar. A LGPD, em seu artigo 48, estabelece que o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A estruturação de um plano de resposta a incidentes é, portanto, uma obrigação prática decorrente da lei.
O que Constitui um Incidente
Um incidente de segurança com dados pessoais abrange qualquer evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais. Isso inclui acessos não autorizados, vazamentos, perdas, alterações indevidas e destruição de dados, sejam eles causados por ataques externos, falhas internas ou erros humanos.
Avaliação de Risco e Dano Relevante
Nem todo incidente requer notificação à ANPD. A obrigação de comunicação surge quando o incidente puder acarretar risco ou dano relevante aos titulares. A ANPD estabeleceu critérios para essa avaliação, que consideram a natureza dos dados afetados, o volume de dados e titulares envolvidos, a facilidade de identificação dos titulares, a gravidade e reversibilidade das consequências e a extensão territorial do incidente.
Dados sensíveis, dados de crianças e adolescentes, dados financeiros e dados que possam levar a discriminação são indicadores de que o risco é relevante e a notificação é necessária.
Prazos e Procedimentos
A ANPD regulamentou o procedimento de comunicação de incidentes, estabelecendo que a notificação deve ocorrer em prazo razoável, contado do conhecimento do incidente pelo controlador. A comunicação deve conter a descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente, as medidas adotadas para reverter ou mitigar os efeitos do incidente e os motivos de eventual atraso na comunicação.
Plano de Resposta a Incidentes
Toda organização que trata dados pessoais deve possuir um plano de resposta a incidentes que contemple: procedimentos de detecção e contenção; equipe de resposta com papéis e responsabilidades definidos; critérios para avaliação de risco e dano; procedimentos de comunicação interna e externa; modelos de notificação à ANPD e aos titulares; procedimentos de preservação de evidências; e processos de análise pós-incidente.
Comunicação aos Titulares
Quando necessária, a comunicação ao titular deve ser feita em linguagem clara e acessível, descrevendo o que ocorreu, quais dados foram afetados, quais medidas foram adotadas e quais providências o titular pode tomar para proteger-se. A transparência nesse momento é fundamental para manter a relação de confiança e mitigar danos reputacionais.
A documentação detalhada de todos os incidentes — mesmo aqueles que não demandaram notificação — é uma prática essencial de accountability que demonstra a diligência da organização perante a ANPD.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".