Relatórios para ANPD

Elaboração de relatórios de incidentes de segurança para a Autoridade Nacional de Proteção de Dados conforme requisitos da LGPD.

Elaboração adequada de relatórios de incidentes para a ANPD demonstra accountability, facilita colaboração com regulador e pode mitigar sanções durante investigações pós-breach.

Obrigatoriedade e Prazos

A LGPD (Lei Geral de Proteção de Dados) estabelece a obrigatoriedade de notificação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados.

O prazo para notificação à ANPD é de até 72 horas a partir do conhecimento do incidente. Em casos de risco iminente, a notificação deve ser imediata.

Informações Essenciais

O relatório para a ANPD deve conter, no mínimo:

Descrição do incidente: natureza, data e hora, duração estimada.
Dados afetados: tipo de dados pessoais comprometidos (ex: nome, CPF, dados financeiros), volume estimado de titulares afetados.
Causas do incidente: vulnerabilidade explorada, erro humano, ataque cibernético.
Impacto potencial: riscos aos titulares (ex: fraude, discriminação, danos à imagem).
Medidas adotadas: ações de contenção, remediação e mitigação de danos.
Informações de contato: do responsável pela proteção de dados (DPO) da empresa.

Nível de Detalhe

O relatório deve ser detalhado o suficiente para que a ANPD possa compreender a natureza e a gravidade do incidente, bem como as medidas que estão sendo tomadas para mitigar seus efeitos.

É importante apresentar informações precisas e baseadas em evidências, evitando especulações ou informações não confirmadas.

Canais de Notificação

A ANPD disponibiliza um canal específico para notificação de incidentes de segurança em seu site oficial. É importante seguir as orientações e os formulários fornecidos pela ANPD para garantir que todas as informações necessárias sejam apresentadas de forma adequada.

Atualizações e Complementações

A notificação inicial à ANPD pode ser complementada com informações adicionais à medida que a investigação do incidente avança. É importante manter a ANPD informada sobre o progresso das ações de resposta e quaisquer novas descobertas relevantes.

Coordenação Interna

A elaboração do relatório para a ANPD deve ser coordenada entre as áreas jurídica, de segurança da informação e de comunicação da empresa. É fundamental garantir que as informações apresentadas sejam consistentes e alinhadas com a estratégia de comunicação da empresa.

Transparência e Accountability

A elaboração de relatórios transparentes e completos para a ANPD demonstra o compromisso da empresa com a proteção de dados e a sua responsabilidade em caso de incidentes de segurança.

A transparência e a accountability são fundamentais para construir e manter a confiança dos titulares de dados e de outros stakeholders.

Exemplos de Incidentes Reportáveis

Ransomware: Ataque que criptografa dados e exige resgate para sua liberação, com potencial vazamento de informações confidenciais.

Data Breach: Exposição não autorizada de dados pessoais, como informações de clientes, dados financeiros ou informações de saúde.

Ataque DDoS: Interrupção de serviços online que afeta a disponibilidade de dados pessoais.

Phishing: Campanha de e-mails fraudulentos que visa obter credenciais de acesso a sistemas que armazenam dados pessoais.

Consequências da Não Notificação

A não notificação de incidentes de segurança à ANPD pode acarretar sanções administrativas, como multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões, além de outras penalidades, como a suspensão ou proibição do tratamento de dados pessoais.

Melhores Práticas

Mantenha um registro detalhado de todos os incidentes de segurança: incluindo data, hora, descrição, causas, impacto e medidas adotadas.
Crie um plano de resposta a incidentes: com procedimentos claros para identificação, contenção, remediação e notificação de incidentes.
Capacite seus colaboradores: para identificar e responder a incidentes de segurança.
Realize testes de simulação de incidentes: para avaliar a eficácia do seu plano de resposta e identificar áreas de melhoria.
Mantenha-se atualizado sobre as normas e orientações da ANPD: em relação à notificação de incidentes de segurança.

Recomendações Finais

Relatórios bem preparados para ANPD demonstram maturidade em gestão de incidentes e compromisso com proteção de dados. Transparência, precisão e completude são essenciais para manter credibilidade com regulador e potencialmente mitigar sanções.