Na penúltima semana de dezembro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a alteração do formulário de Comunicação de Incidentes de Segurança, que deve ser utilizado por todos aqueles que necessitarem fazer a sua comunicação de incidentes de segurança, a partir de 01 de janeiro de 2023.

O formulário, agora com 8 páginas, divide-se nas seguintes seções:

‍

SEÇÕES DO FORMULÁRIO

1. Dados do Controlador

2. Dados do Encarregado

3. Dados do Notificante / Representante Legal

4. Tipo de Comunicação

5. Avaliação do Risco do Incidente

6. Da Ciência da Ocorrência do Incidente

7. Da Tempestividade da Comunicação do Incidente

8. Da Comunicação do Incidente aos Titulares dos Dados

9. Descrição do Incidente

10. Impactos do Incidente sobre os Dados Pessoais

11. Riscos e Consequências aos Titulares dos Dados

12. Medidas de Segurança Técnicas e Administrativas para a Proteção dos Dados Pessoais

‍

Convém salientar alguns comentários relevantes em relação a alguns dados contidos no formulário, os quais são dispostos a seguir.

Com respeito ao tipo de comunicação, esta pode ser completa, preliminar ou complementar.

Com respeito ao risco do incidente, a ANPD busca saber se existe risco ou dano relevante aos titulares ou não ou se o risco ou dano ainda está sob apuração.

Com respeito à ciência da ocorrência do incidente, a ANPD busca saber a origem de onde veio a informação do incidente.

Com respeito à tempestividade da comunicação do incidente, a ANPD busca saber quando ocorreu o fato, quando aquele que comunica tomou ciência, quando comunicou à ANPD e quando comunicou aos titulares.

Com respeito à comunicação do incidente, a ANPD busca saber se os titulares foram avisados, de que forma houve a comunicação, quantos titulares individualmente receberam a comunicação e se o comunicado aos titulares atendeu os 5 (cinco) requisitos listados.

Com respeito à descrição do incidente, a ANPD busca saber se foi sequestro de dados (ransomware) com ou sem transferência de informações, exploração de vulnerabilidade em sistemas da informação, vírus/malware, roubo de credenciais/engenharia social, violação de credencial por força bruta, publicação não intencional de dados pessoais, divulgação indevida de dados pessoais, envio de dados a destinatário incorreto, acesso não autorizado a sistemas de informação, negação de serviço (DoS), alteração/exclusão não autorizada de dados, perda/roubo de documentos ou dispositivos eletrônicos, descarte incorreto de documentos ou dispositivos eletrônicos, falha em equipamento (hardware), falha em sistema da informação (software), outro tipo de incidente cibernético ou não cibernético. Além disso, quais medidas foram tomadas para corrigir as causas do incidente.

Com respeito aos impactos do incidente sobre os dados pessoais, a ANPD busca saber se o incidente afetou a confidencialidade, a integridade e a disponibilidade e quais os tipos de dados pessoais sensíveis foram violados: origem racial ou étnica; referente à saúde; referente à vida sexual; convicção religiosa; biométrico; filiação à organização sindical, religiosa, filosófica ou política; opinião política ou genético. Além disso, é indagado quais os dados que foram violados.

Com respeito aos riscos e consequências aos titulares, a ANPD busca saber se foi elaborado um Relatório de Impacto à Proteção de Dados Pessoais, qual o número total de titulares afetados, discriminando adultos e crianças, quais as categorias de titulares afetadas, quais as prováveis consequências, qual o provável impacto e quais foram as medidas adotadas para a mitigação do problema.

Com respeito às medidas de segurança, a ANPD busca saber se os dados estavam protegidos de forma a impossibilitar a identificação dos titulares, quais as medidas de segurança eram adotadas e quais medidas de segurança foram adotadas após o incidente: políticas de segurança da informação e privacidade, controle de acesso físico, criptografia/anonimização, antivírus, registros de acesso/logs, testes de invasão, processo de gestão de riscos, controle de acesso lógico, cópias de segurança/backup, firewall, monitoramento do uso de rede e sistemas, plano de resposta a incidentes, registro de incidentes, segregação de rede, gestão de ativos, atualização de sistemas, múltiplos fatores de autenticação e outras. Além disso, há o questionamento se as atividades de tratamento de dados afetadas estão submetidas a regulações de segurança setoriais.

‍