Desde o dia 01 de janeiro de 2023 está em vigor o novo formulário de Comunicação de Incidente de Segurança – CIS, elaborado pela ANPD, que deverá ser utilizado pelos Controladores de Dados Pessoais para comunicação de incidentes de segurança no tratamento de dados.
A comunicação de incidente de segurança é obrigatória, nos termos da Lei 13.709/18 (LGPD), quando a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48.
O formulário é aplicável para todos os controladores de dados, ainda que sejam Microempresas, Empresas de Pequeno Porte e Agentes de Tratamento de Pequeno Porte.
Lembrando, aqui, que são agentes de tratamento de pequeno porte, nos termos da Resolução CD/ANPD n.º 2 de 27 de janeiro de 2022: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, desde que: a) não realizem tratamento de alto risco para os titulares, ressalvada a hipótese daqueles que, mesmo realizando tratamento de alto risco, estejam organizados por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados; b) não aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou, c) não pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no anteriormente.
O novo formulário traz questionamentos importantes, detalhados e objetivos sobre como, quando e quais dados sofreram um incidente de segurança, trazendo perguntas como, exemplificamente:
- Qual o número aproximado de titulares cujos dados são tratados pela empresa/organização?
- Se os titulares dos dados envolvidos no incidente já foram comunicados? Se sim, como foram comunicados?
- Qual é a avaliação de risco ou dano relevante aos titulares dos dados?
- Por qual meio tomou conhecimento do incidente, havendo a opção “Por meio da Notificação da ANPD” (ou seja, a ANPD a partir de denúncias dos próprios titulares poderá chegar até ao controlador que porventura teve um incidente de segurança e sequer estava atento a isso);
- Qual tipo de incidente ocorreu, trazendo tipos como:
| ☐ Sequestro de Dados (ransomware) sem transferência de informações. | ☐ Sequestro de dados (ransomware) com transferência e/ou publicação de informações. |
| ☐ Exploração de vulnerabilidade em sistemas de informação. | ☐ Vírus de Computador / Malware. |
| ☐ Roubo de credenciais / Engenharia Social. | ☐ Violação de credencial por força bruta. |
| ☐ Publicação não intencional de dados pessoais. | ☐ Divulgação indevida de dados pessoais. |
| ☐ Envio de dados a destinatário incorreto. | ☐ Acesso não autorizado a sistemas de informação. |
| ☐ Negação de Serviço (DoS). | ☐ Alteração/exclusão não autorizada de dados. |
| ☐ Perda/roubo de documentos ou dispositivos eletrônicos. | ☐ Descarte incorreto de documentos ou dispositivos eletrônicos. |
| ☐ Falha em equipamento (hardware). | ☐ Falha em sistema de informação (software). |
| ☐ Outro tipo de incidente cibernético. (especifique abaixo) | ☐ Outro tipo de incidente não cibernético. (especifique abaixo) |
- Quais medidas foram adotadas para CORRIGIR as causas do incidente?
- Quais dados foram violados?
- Quais prováveis consequências do incidente para os titulares, tendo como tipos:
| ☐ Danos morais. | ☐ Danos materiais. | ☐ Violação à integridade física |
| ☐ Discriminação social. | ☐ Danos reputacionais. | ☐ Roubo de identidade. |
| ☐ Engenharia social / Fraudes. | ☐ Limitação de acesso a um serviço. | ☐ Exposição de dados protegidos por sigilo profissional/legal. |
| ☐ Restrições de direitos. | ☐ Perda de acesso a dados pessoais. | ☐ Outros (especifique abaixo). |
Nesse cenário, observa-se que o controlador de dados que sofrer um incidente de segurança somente vai conseguir responder os questionamentos apontados no Formulário da ANPD se estiver em conformidade com a LGPD em seus processos internos.
Abaixo, link da ANPD onde encontra-se disponível o Formulário para comunicação de incidente de segurança: