Incidente de segurança com dados pessoais é uma ação, acidental ou intencional, que compromete a segurança de dados que podem identificar uma pessoa, como CPF, endereço, data de nascimento, entre outros. Esse incidente ocorre quando há acesso não autorizado, perda, alteração, destruição ou vazamentos desses dados.

As principais causas dos incidentes registrados são:

• Roubo de credenciais e/ou Engenharia Social; 
• Sequestro de dados (ransomware) com transferência e/ou publicação de informações;
• Sequestro de Dados (ransomware) sem transferência de informações; 
• Acesso não autorizado a sistemas de informação; e 
• Divulgação indevida de dados pessoais.

Quais casos devem ser comunicados à ANPD?

De acordo com o art. 5 da CD/ANPD 15/2024, devem ser comunicados à ANPD apenas os incidentes confirmados e que possam afetar significativamente os direitos fundamentais dos titulares, e envolver ao menos um dos seguintes tipos de dados:

1. Sensíveis;
2. De crianças, adolescentes ou idosos;
3. Financeiros; 
4. De autenticação; 
5. Protegidos por sigilo; 
6. Em larga escala.

Incidentes de segurança que possam afetar significativamente interesses e direitos fundamentais serão caracterizados, dentre outras situações, naquelas em que o tratamento puder impedir o exercício de direitos, o acesso a serviços ou causar danos como discriminação, lesão à integridade física, imagem, reputação, fraudes ou roubo de identidade, etc.

Quais medidas minha empresa deve tomar?

• Realizar identificação técnica do incidente e isolamento do ambiente afetado;
• Avaliar a gravidade, alcance e possível impacto do incidente;
• Analisar a Política de Gestão de Incidentes para mapeamento das ações necessárias;
• Acionar o comitê de crise e convocar reuniões emergenciais com a diretoria e áreas estratégicas como TI, jurídico, comunicação e negócios;
• Preservar evidências para futura análise forense;
• Contratar uma consultoria especializada, quando necessário;
• Definir uma estratégia de resposta e comunicação, com alinhamento entre áreas internas;
• Analisar os impactos contratuais, como atrasos em entrega, multas contratuais e afins;
• Avaliar a necessidade de comunicação à ANDP e titulares de dados, caso os dados sejam afetados.

O que fazer após um incidente?

• Elaboração de registros detalhados e relatórios internos do incidente;
• Elaboração do Relatório de Impacto à Proteção de Dados (RIPD), caso necessário;
• Adoção de ações para reduzir os impactos e melhorar os processos internos afetados pelo incidente;
• Atualização de políticas e normas internas relacionadas à segurança e privacidade;
• Treinamentos internos e revisão dos planos de resposta e governança de dados; e
• Simular periodicamente incidentes para testar a equipe.

Além disso, é essencial implementar medidas corretivas e preventivas para evitar a reincidência de incidentes semelhantes, bem como se recomenda ter lista ou contratos prévios com parceiros forenses e jurídicos para, em casos de incidentes, o acionamento ser ágil.