{"id":1162,"date":"2024-05-15T15:07:11","date_gmt":"2024-05-15T18:07:11","guid":{"rendered":"https:\/\/privacyhub.com.br\/?p=1162"},"modified":"2025-08-20T10:25:50","modified_gmt":"2025-08-20T13:25:50","slug":"resolucao-cd-anpd-no-15-de-24-de-abril-de-2024","status":"publish","type":"post","link":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/","title":{"rendered":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a"},"content":{"rendered":"\r\n

Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 15, de 24 de abril de 2024<\/strong><\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DI\u00c1RIO OFICIAL DA UNI\u00c3O<\/h2>\r\n\r\n\r\n\r\n
<\/div>\r\n\r\n\r\n\r\n

Publicado em: 26\/04\/2024 | Edi\u00e7\u00e3o: 81 | Se\u00e7\u00e3o: 1 | P\u00e1gina: 114<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00d3rg\u00e3o: <\/strong>Minist\u00e9rio da Justi\u00e7a e Seguran\u00e7a P\u00fablica\/Autoridade Nacional de Prote\u00e7\u00e3o de Dados\/Conselho Diretor<\/strong><\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

RESOLU\u00c7\u00c3O CD\/ANPD N\u00ba 15, DE 24 DE ABRIL DE 2024<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Aprova o Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTE\u00c7\u00c3O DE DADOS (ANPD), no uso das compet\u00eancias que lhe s\u00e3o conferidas pelo art. 5\u00ba, I, do Regimento Interno da Autoridade Nacional de Prote\u00e7\u00e3o de Dados, aprovado pela Portaria n\u00ba 1, de 8 de mar\u00e7o de 2021, e considerando as compet\u00eancias previstas no art. 55-J, XIII, da Lei n\u00ba 13.709, de 14 de agosto de 2018, no art. 2\u00ba, XIII, do Anexo I do Decreto n\u00ba 10.474, de 26 de agosto de 2020, bem como a delibera\u00e7\u00e3o tomada nos autos do processo n\u00ba 00261.000098\/2021-67, resolve:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 1\u00ba Aprovar o Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a na forma do anexo desta Resolu\u00e7\u00e3o.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 2\u00ba O inciso II do art. 14 do Regulamento de aplica\u00e7\u00e3o da Lei n\u00ba 13.709, de 14 de agosto de 2018, Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 2, de 27 de janeiro de 2022, passa a vigorar com a seguinte reda\u00e7\u00e3o:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

“Art. 14. …………………………………………………………………………………………………….<\/p>\r\n\r\n\r\n\r\n

………………………………………………………………………………………………………………….<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – no caso da comunica\u00e7\u00e3o, \u00e0 ANPD e ao titular, da ocorr\u00eancia de incidente de seguran\u00e7a que possa acarretar risco ou dano relevante aos titulares, nos termos do Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 15, de 24 de abril de 2024;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

………………………………………………………………………………………………………….” (NR)<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 3\u00ba Esta Resolu\u00e7\u00e3o entra em vigor na data da sua publica\u00e7\u00e3o.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

WALDEMAR GON\u00c7ALVES ORTUNHO JUNIOR<\/p>\r\n\r\n\r\n\r\n

Diretor-Presidente<\/p>\r\n\r\n\r\n\r\n

<\/p>\r\n\r\n\r\n\r\n

ANEXO<\/strong><\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

REGULAMENTO DE COMUNICA\u00c7\u00c3O DE INCIDENTE DE SEGURAN\u00c7A<\/strong><\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO I<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DISPOSI\u00c7\u00d5ES PRELIMINARES<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 1\u00ba Este Regulamento tem por objetivo estabelecer os procedimentos para Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a, que possa acarretar risco ou dano relevante aos titulares, nos termos do art. 48 da Lei n\u00ba 13.709, de 14 de agosto de 2018 – Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD).<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 2\u00ba S\u00e3o objetivos deste Regulamento:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – proteger os direitos dos titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – assegurar a ado\u00e7\u00e3o das medidas necess\u00e1rias para mitigar ou reverter os efeitos dos preju\u00edzos gerados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – assegurar a efetividade do princ\u00edpio da responsabiliza\u00e7\u00e3o e da presta\u00e7\u00e3o de contas pelos agentes de tratamento;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – promover a ado\u00e7\u00e3o de regras de boas pr\u00e1ticas, de governan\u00e7a, de medidas de preven\u00e7\u00e3o e seguran\u00e7a adequadas;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – estimular a promo\u00e7\u00e3o da cultura de prote\u00e7\u00e3o de dados pessoais;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – garantir que os agentes de tratamento atuem de forma transparente e estabele\u00e7am uma rela\u00e7\u00e3o de confian\u00e7a com o titular; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VII – fornecer subs\u00eddios para as atividades regulat\u00f3ria, fiscalizat\u00f3ria e sancionat\u00f3ria da Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD).<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO II<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DAS DEFINI\u00c7\u00d5ES<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 3\u00ba Para efeitos deste Regulamento, s\u00e3o adotadas as seguintes defini\u00e7\u00f5es:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – ampla divulga\u00e7\u00e3o do incidente em meios de comunica\u00e7\u00e3o: provid\u00eancia que pode ser determinada pela ANPD ao controlador, nos termos do art. 48, \u00a7 2\u00ba, I, da LGPD, no \u00e2mbito do processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a, como a publica\u00e7\u00e3o no s\u00edtio eletr\u00f4nico, nas redes sociais do controlador ou em outros meios de comunica\u00e7\u00e3o;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – autenticidade: propriedade pela qual se assegura que a informa\u00e7\u00e3o foi produzida, expedida, modificada ou destru\u00edda por uma determinada pessoa f\u00edsica, equipamento, sistema, \u00f3rg\u00e3o ou entidade;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – categoria de dados pessoais: classifica\u00e7\u00e3o dos dados pessoais de acordo com o contexto de sua utiliza\u00e7\u00e3o, tais como dados de identifica\u00e7\u00e3o pessoal, dados de autentica\u00e7\u00e3o em sistemas, dados financeiros;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – comunica\u00e7\u00e3o de incidente de seguran\u00e7a: ato do controlador que comunica \u00e0 ANPD e ao titular de dados a ocorr\u00eancia de incidente de seguran\u00e7a que possa acarretar risco ou dano relevante aos titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – confidencialidade: propriedade pela qual se assegura que o dado pessoal n\u00e3o esteja dispon\u00edvel ou n\u00e3o seja revelado a pessoas, empresas, sistemas, \u00f3rg\u00e3os ou entidades n\u00e3o autorizados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – dado de autentica\u00e7\u00e3o em sistemas: qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identifica\u00e7\u00e3o de um usu\u00e1rio, como contas de login, tokens e senhas;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VII – dado financeiro: dado pessoal relacionado \u00e0s transa\u00e7\u00f5es financeiras do titular, inclusive para contrata\u00e7\u00e3o de servi\u00e7os e aquisi\u00e7\u00e3o de produtos;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VIII – dado pessoal afetado: dado pessoal cuja confidencialidade, integridade, disponibilidade ou autenticidade tenha sido comprometida em um incidente de seguran\u00e7a;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IX – dado protegido por sigilo legal ou judicial: dado pessoal cujo sigilo decorra de norma jur\u00eddica ou decis\u00e3o judicial;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

X – dado protegido por sigilo profissional: dado pessoal cujo sigilo decorra do exerc\u00edcio de fun\u00e7\u00e3o, minist\u00e9rio, of\u00edcio ou profiss\u00e3o, e cuja revela\u00e7\u00e3o possa produzir dano a outrem;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XI – disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acess\u00edvel e utiliz\u00e1vel, sob demanda, por uma pessoa natural ou determinado sistema, \u00f3rg\u00e3o ou entidade devidamente autorizados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XII – incidente de seguran\u00e7a: qualquer evento adverso confirmado, relacionado \u00e0 viola\u00e7\u00e3o das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da seguran\u00e7a de dados pessoais;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XIII – integridade: propriedade pela qual se assegura que o dado pessoal n\u00e3o foi modificado ou destru\u00eddo de maneira n\u00e3o autorizada ou acidental;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XIV- medidas de seguran\u00e7a: medidas t\u00e9cnicas e\/ou administrativas adotadas para proteger os dados pessoais de acessos n\u00e3o autorizados e de situa\u00e7\u00f5es acidentais ou il\u00edcitas de destrui\u00e7\u00e3o, perda, altera\u00e7\u00e3o, comunica\u00e7\u00e3o ou difus\u00e3o;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XV – natureza dos dados pessoais: classifica\u00e7\u00e3o de dados pessoais em gerais ou sens\u00edveis;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XVI- procedimento de apura\u00e7\u00e3o de incidente de seguran\u00e7a: procedimento instaurado pela ANPD para apurar a ocorr\u00eancia de incidente de seguran\u00e7a que n\u00e3o tenha sido comunicado pelo controlador;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XVII – procedimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a: procedimento instaurado no \u00e2mbito da ANPD ap\u00f3s o recebimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XVIII – processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a: processo administrativo instaurado no \u00e2mbito da ANPD que abrange o procedimento de apura\u00e7\u00e3o incidente de seguran\u00e7a e o procedimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XIX – relat\u00f3rio de tratamento de incidente: documento fornecido pelo controlador que cont\u00e9m c\u00f3pias, em meio f\u00edsico ou digital, de dados e informa\u00e7\u00f5es relevantes para descrever o incidente e as provid\u00eancias adotadas para reverter ou mitigar os seus efeitos.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO III<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DA COMUNICA\u00c7\u00c3O DE INCIDENTE DE SEGURAN\u00c7A<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o I<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Dos Crit\u00e9rios para Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 4\u00ba O controlador dever\u00e1 comunicar \u00e0 ANPD e ao titular a ocorr\u00eancia de incidente de seguran\u00e7a que possa acarretar risco ou dano relevante aos titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 5\u00ba O incidente de seguran\u00e7a pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes crit\u00e9rios:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – dados pessoais sens\u00edveis;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – dados de crian\u00e7as, de adolescentes ou de idosos;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – dados financeiros;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – dados de autentica\u00e7\u00e3o em sistemas;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – dados protegidos por sigilo legal, judicial ou profissional; ou<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – dados em larga escala.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba O incidente de seguran\u00e7a que possa afetar significativamente interesses e direitos fundamentais ser\u00e1 caracterizado, dentre outras situa\u00e7\u00f5es, naquelas em que a atividade de tratamento puder impedir o exerc\u00edcio de direitos ou a utiliza\u00e7\u00e3o de um servi\u00e7o, assim como ocasionar danos materiais ou morais aos titulares, tais como discrimina\u00e7\u00e3o, viola\u00e7\u00e3o \u00e0 integridade f\u00edsica, ao direito \u00e0 imagem e \u00e0 reputa\u00e7\u00e3o, fraudes financeiras ou roubo de identidade.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba Considera-se incidente com dados em larga escala aquele que abranger n\u00famero significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a dura\u00e7\u00e3o, a frequ\u00eancia e a extens\u00e3o geogr\u00e1fica de localiza\u00e7\u00e3o dos titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 3\u00ba A ANPD poder\u00e1 publicar orienta\u00e7\u00f5es com o objetivo de auxiliar os agentes de tratamento na avalia\u00e7\u00e3o do incidente que possa acarretar risco ou dano relevante aos titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o II<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Da Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a \u00e0 ANPD<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 6\u00ba A comunica\u00e7\u00e3o de incidente de seguran\u00e7a \u00e0 ANPD dever\u00e1 ser realizada pelo controlador no prazo de tr\u00eas dias \u00fateis, ressalvada a exist\u00eancia de prazo para comunica\u00e7\u00e3o previsto em legisla\u00e7\u00e3o espec\u00edfica.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba O prazo a que se refere o caput ser\u00e1 contado do conhecimento pelo controlador de que o incidente afetou dados pessoais.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba A comunica\u00e7\u00e3o de incidente de seguran\u00e7a dever\u00e1 conter as seguintes informa\u00e7\u00f5es:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – a descri\u00e7\u00e3o da natureza e da categoria de dados pessoais afetados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – o n\u00famero de titulares afetados, discriminando, quando aplic\u00e1vel, o n\u00famero de crian\u00e7as, de adolescentes ou de idosos;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – as medidas t\u00e9cnicas e de seguran\u00e7a utilizadas para a prote\u00e7\u00e3o dos dados pessoais, adotadas antes e ap\u00f3s o incidente, observados os segredos comercial e industrial;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – os riscos relacionados ao incidente com identifica\u00e7\u00e3o dos poss\u00edveis impactos aos titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – os motivos da demora, no caso de a comunica\u00e7\u00e3o n\u00e3o ter sido realizada no prazo previsto no caput deste artigo;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – as medidas que foram ou que ser\u00e3o adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VII – a data da ocorr\u00eancia do incidente, quando poss\u00edvel determin\u00e1-la, e a de seu conhecimento pelo controlador;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VIII – os dados do encarregado ou de quem represente o controlador;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IX – a identifica\u00e7\u00e3o do controlador e, se for o caso, declara\u00e7\u00e3o de que se trata de agente de tratamento de pequeno porte;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

X – a identifica\u00e7\u00e3o do operador, quando aplic\u00e1vel;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XI – a descri\u00e7\u00e3o do incidente, incluindo a causa principal, caso seja poss\u00edvel identific\u00e1-la; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

XII – o total de titulares cujos dados s\u00e3o tratados nas atividades de tratamento afetadas pelo incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 3\u00ba As informa\u00e7\u00f5es poder\u00e3o ser complementadas, de maneira fundamentada, no prazo de vinte dias \u00fateis, a contar da data da comunica\u00e7\u00e3o.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 4\u00ba A comunica\u00e7\u00e3o de incidente de seguran\u00e7a dever\u00e1 ocorrer por meio de formul\u00e1rio eletr\u00f4nico disponibilizado pela ANPD.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 5\u00ba A comunica\u00e7\u00e3o de incidente de seguran\u00e7a dever\u00e1 ser realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobat\u00f3rio de v\u00ednculo contratual, empregat\u00edcio ou funcional, ou por meio de representante constitu\u00eddo, acompanhada de instrumento com poderes de representa\u00e7\u00e3o junto \u00e0 ANPD.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 6\u00ba Os documentos de que trata o \u00a7 5\u00ba dever\u00e3o ser apresentados juntamente com a comunica\u00e7\u00e3o do incidente de seguran\u00e7a, no prazo previsto no caput deste artigo.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 7\u00ba No caso de descumprimento do previsto no \u00a7 6\u00ba, a ANPD poder\u00e1 apurar a ocorr\u00eancia do incidente de seguran\u00e7a por meio do procedimento de apura\u00e7\u00e3o de incidente de seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 8\u00ba Os prazos constantes no caput e no \u00a7 3\u00ba deste artigo s\u00e3o contados em dobro para os agentes de pequeno porte, nos termos do disposto no Regulamento de aplica\u00e7\u00e3o da Lei n\u00ba 13.709, de 14 de agosto de 2018, Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD), aos agentes de tratamento de pequeno porte, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 2, de 27 de janeiro de 2022.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 7\u00ba Cabe ao controlador solicitar \u00e0 ANPD, de maneira fundamentada, o sigilo de informa\u00e7\u00f5es protegidas por lei, indicando aquelas cujo acesso dever\u00e1 ser restringido, a exemplo das relativas \u00e0 sua atividade empresarial cuja divulga\u00e7\u00e3o possa representar viola\u00e7\u00e3o de segredo comercial ou industrial.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 8\u00ba A ANPD poder\u00e1, a qualquer tempo, solicitar informa\u00e7\u00f5es adicionais ao controlador, referentes ao incidente de seguran\u00e7a, inclusive o registro das opera\u00e7\u00f5es de tratamento dos dados pessoais afetados pelo incidente, o relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais (RIPD) e o relat\u00f3rio de tratamento do incidente, estabelecendo prazo para o envio das informa\u00e7\u00f5es.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o III<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Da Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a ao Titular<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 9\u00ba A comunica\u00e7\u00e3o de incidente de seguran\u00e7a ao titular dever\u00e1 ser realizada pelo controlador no prazo de tr\u00eas dias \u00fateis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, e dever\u00e1 conter as seguintes informa\u00e7\u00f5es:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – a descri\u00e7\u00e3o da natureza e da categoria de dados pessoais afetados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – as medidas t\u00e9cnicas e de seguran\u00e7a utilizadas para a prote\u00e7\u00e3o dos dados, observados os segredos comercial e industrial;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – os riscos relacionados ao incidente com identifica\u00e7\u00e3o dos poss\u00edveis impactos aos titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – os motivos da demora, no caso de a comunica\u00e7\u00e3o n\u00e3o ter sido feita no prazo do caput deste artigo;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – as medidas que foram ou que ser\u00e3o adotadas para reverter ou mitigar os efeitos do incidente, quando cab\u00edveis;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – a data do conhecimento do incidente de seguran\u00e7a; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VII – o contato para obten\u00e7\u00e3o de informa\u00e7\u00f5es e, quando aplic\u00e1vel, os dados de contato do encarregado.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba A comunica\u00e7\u00e3o do incidente aos titulares de dados dever\u00e1 atender aos seguintes crit\u00e9rios:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – fazer uso de linguagem simples e de f\u00e1cil entendimento; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – ocorrer de forma direta e individualizada, caso seja poss\u00edvel identific\u00e1-los.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba Considera-se comunica\u00e7\u00e3o de forma direta e individualizada aquela realizada pelos meios usualmente utilizados pelo controlador para contatar o titular, tais como telefone, e-mail, mensagem eletr\u00f4nica ou carta.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 3\u00ba Caso a comunica\u00e7\u00e3o direta e individualizada mostre-se invi\u00e1vel ou n\u00e3o seja poss\u00edvel identificar, parcial ou integralmente, os titulares afetados, o controlador dever\u00e1 comunicar a ocorr\u00eancia do incidente, no prazo e com as informa\u00e7\u00f5es definidas no caput, pelos meios de divulga\u00e7\u00e3o dispon\u00edveis, tais como seu s\u00edtio eletr\u00f4nico, aplicativos, suas m\u00eddias sociais e canais de atendimento ao titular, de modo que a comunica\u00e7\u00e3o permita o conhecimento amplo, com direta e f\u00e1cil visualiza\u00e7\u00e3o, pelo per\u00edodo de, no m\u00ednimo, tr\u00eas meses.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 4\u00ba O controlador dever\u00e1 juntar ao processo de comunica\u00e7\u00e3o de incidente uma declara\u00e7\u00e3o de que foi realizada a comunica\u00e7\u00e3o aos titulares, constando os meios de comunica\u00e7\u00e3o ou divulga\u00e7\u00e3o utilizados, em at\u00e9 tr\u00eas dias \u00fateis, contados do t\u00e9rmino do prazo de que trata o caput deste artigo.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 5\u00ba Poder\u00e1 ser considerada boa pr\u00e1tica, para fins do disposto no art. 52, \u00a7 1\u00ba, IX, da LGPD, a inclus\u00e3o, na comunica\u00e7\u00e3o ao titular, de recomenda\u00e7\u00f5es aptas a reverter ou mitigar os efeitos do incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 6\u00ba O prazo constante no caput deste artigo \u00e9 contado em dobro para os agentes de pequeno porte, nos termos do disposto no Regulamento de aplica\u00e7\u00e3o da Lei n\u00ba 13.709, de 14 de agosto de 2018, Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais (LGPD) aos agentes de tratamento de pequeno porte, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 2, de 27 de janeiro de 2022.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO IV<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DO REGISTRO DO INCIDENTE DE SEGURAN\u00c7A<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 10. O controlador dever\u00e1 manter o registro do incidente de seguran\u00e7a, inclusive daquele n\u00e3o comunicado \u00e0 ANPD e aos titulares, pelo prazo m\u00ednimo de cinco anos, contado a partir da data do registro, exceto se constatadas obriga\u00e7\u00f5es adicionais que demandem maior prazo de manuten\u00e7\u00e3o.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba O registro do incidente dever\u00e1 conter, no m\u00ednimo:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – a data de conhecimento do incidente;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – a descri\u00e7\u00e3o geral das circunst\u00e2ncias em que o incidente ocorreu;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – a natureza e a categoria de dados afetados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – o n\u00famero de titulares afetados;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – a avalia\u00e7\u00e3o do risco e os poss\u00edveis danos aos titulares;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VI – as medidas de corre\u00e7\u00e3o e mitiga\u00e7\u00e3o dos efeitos do incidente, quando aplic\u00e1vel;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VII – a forma e o conte\u00fado da comunica\u00e7\u00e3o, se o incidente tiver sido comunicado \u00e0 ANPD e aos titulares; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

VIII – os motivos da aus\u00eancia de comunica\u00e7\u00e3o, quando for o caso.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba Os prazos de guarda previstos neste artigo n\u00e3o se aplicam \u00e0s entidades previstas no art. 23 da LGPD, desde que sejam observadas as regras aplic\u00e1veis aos documentos de guarda permanente previstas na tabela de temporalidade pr\u00f3pria ou definidas pelo Conselho Nacional de Arquivos.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO V<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DO PROCESSO DE COMUNICA\u00c7\u00c3O DE INCIDENTE DE SEGURAN\u00c7A<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o I<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Das Disposi\u00e7\u00f5es Gerais<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 11. O processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a tem por objeto a fiscaliza\u00e7\u00e3o de atos relacionados ao tratamento e resposta ao incidente que possa acarretar risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Par\u00e1grafo \u00fanico. Aplicam-se ao processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a regido por este Regulamento, no que couber, as disposi\u00e7\u00f5es do Regulamento do Processo de Fiscaliza\u00e7\u00e3o e do Processo Administrativo Sancionador, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 01, de 28 de outubro de 2021.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 12. A ANPD poder\u00e1, a qualquer momento, realizar auditorias ou inspe\u00e7\u00f5es junto aos agentes de tratamento, ou determinar a sua realiza\u00e7\u00e3o, para coletar informa\u00e7\u00f5es complementares ou validar as informa\u00e7\u00f5es recebidas, com o objetivo de subsidiar as decis\u00f5es no \u00e2mbito do processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 13. O processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a inicia-se:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – de of\u00edcio, no caso de procedimento de apura\u00e7\u00e3o de incidente de seguran\u00e7a; ou<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – com o recebimento da comunica\u00e7\u00e3o, devidamente formalizada, na forma do art. 6\u00ba, \u00a75\u00ba, no caso de procedimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 14. Os processos de comunica\u00e7\u00e3o de incidente de seguran\u00e7a poder\u00e3o ser analisados de forma agregada, e as eventuais provid\u00eancias deles decorrentes poder\u00e3o ser adotadas de forma padronizada, em conformidade com o planejamento da atividade de fiscaliza\u00e7\u00e3o e os crit\u00e9rios de prioriza\u00e7\u00e3o definidos no Relat\u00f3rio de Ciclo de Monitoramento de que trata o art. 20 do Regulamento do Processo de Fiscaliza\u00e7\u00e3o e do Processo Administrativo Sancionador no \u00e2mbito da Autoridade Nacional de Prote\u00e7\u00e3o de Dados, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 1, de 28 de outubro de 2021.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 15. No curso do processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a, a ANPD poder\u00e1 determinar ao controlador, com ou sem a sua pr\u00e9via manifesta\u00e7\u00e3o, a ado\u00e7\u00e3o imediata de medidas preventivas necess\u00e1rias para salvaguardar direitos dos titulares, a fim de prevenir, mitigar ou reverter os efeitos do incidente e evitar a ocorr\u00eancia de dano grave e irrepar\u00e1vel ou de dif\u00edcil repara\u00e7\u00e3o.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Par\u00e1grafo \u00fanico. A ANPD poder\u00e1 fixar multa di\u00e1ria para assegurar o cumprimento da determina\u00e7\u00e3o prevista no caput, na forma do Regulamento de Dosimetria e Aplica\u00e7\u00e3o de San\u00e7\u00f5es Administrativas, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 4, de 24 de fevereiro de 2023.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o II<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Do Procedimento de Apura\u00e7\u00e3o de Incidente de Seguran\u00e7a<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 16. A ANPD poder\u00e1 apurar, por meio do procedimento de apura\u00e7\u00e3o de incidente de seguran\u00e7a, a ocorr\u00eancia de incidentes que possam acarretar risco ou dano relevante aos titulares, n\u00e3o comunicados pelo controlador, de que venha a tomar conhecimento.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba A ANPD poder\u00e1 requisitar ao controlador informa\u00e7\u00f5es para apurar a ocorr\u00eancia do incidente de seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba A ANPD avaliar\u00e1 a ocorr\u00eancia do incidente por meio dos crit\u00e9rios dispostos no art. 5\u00ba deste Regulamento.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 17. Constatada a ocorr\u00eancia de incidente de seguran\u00e7a, a ANPD determinar\u00e1 ao controlador o envio da comunica\u00e7\u00e3o \u00e0 Autoridade e aos titulares, observados os prazos e condi\u00e7\u00f5es descritos nos arts. 6\u00ba e 9\u00ba deste Regulamento, respectivamente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba A ANPD poder\u00e1, ainda, instaurar processo administrativo sancionador para apurar o descumprimento do previsto nos arts. 6\u00ba e 9\u00ba deste Regulamento.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba Realizada a comunica\u00e7\u00e3o de incidente de seguran\u00e7a, na forma do caput, aplicar-se-\u00e1 o procedimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a estabelecido na Se\u00e7\u00e3o III.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o III<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Do Procedimento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 18. O procedimento de comunica\u00e7\u00e3o de incidente de seguran\u00e7a ser\u00e1 iniciado com o recebimento da comunica\u00e7\u00e3o do incidente pela ANPD, devidamente formalizada, na forma do art. 6\u00ba., \u00a75\u00ba.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Par\u00e1grafo \u00fanico. A comunica\u00e7\u00e3o do incidente ser\u00e1 recebida, exclusivamente, por meio de canal espec\u00edfico, conforme orienta\u00e7\u00e3o publicada no s\u00edtio eletr\u00f4nico da ANPD.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 19. Ap\u00f3s avaliar a gravidade do incidente de seguran\u00e7a, a ANPD poder\u00e1 determinar ao controlador a ado\u00e7\u00e3o de provid\u00eancias para a salvaguarda dos direitos dos titulares, tais como:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – ampla divulga\u00e7\u00e3o do incidente em meios de comunica\u00e7\u00e3o; e<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – medidas para reverter ou mitigar os efeitos do incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 1\u00ba A gravidade do incidente ser\u00e1 avaliada com base nas informa\u00e7\u00f5es obtidas e nos crit\u00e9rios de que trata o art. 5\u00ba deste Regulamento.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 2\u00ba As provid\u00eancias citadas no caput devem estar diretamente relacionadas ao incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 3\u00ba A ANPD poder\u00e1 determinar ampla divulga\u00e7\u00e3o do incidente em meios de comunica\u00e7\u00e3o, \u00e0s expensas do controlador, para a salvaguarda dos direitos dos titulares, nos termos do art. 48, \u00a7 2\u00ba, I, da LGPD, quando a comunica\u00e7\u00e3o realizada pelo controlador mostrar-se insuficiente para alcan\u00e7ar parcela significativa dos titulares afetados pelo incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 4\u00ba A ampla divulga\u00e7\u00e3o do incidente em meios de comunica\u00e7\u00e3o dever\u00e1 ser compat\u00edvel com a abrang\u00eancia de atua\u00e7\u00e3o do controlador e a localiza\u00e7\u00e3o dos titulares dos dados pessoais afetados no incidente.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 5\u00ba A ampla divulga\u00e7\u00e3o do incidente poder\u00e1 ser viabilizada em meio f\u00edsico ou digital, considerada sempre a necessidade de se atingir o maior n\u00famero poss\u00edvel de titulares afetados, admitidos os seguintes meios de veicula\u00e7\u00e3o:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – m\u00eddia escrita impressa;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – radiodifus\u00e3o de sons e de sons e imagens; ou<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – transmiss\u00e3o de informa\u00e7\u00f5es pela Internet.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 6\u00ba A ampla divulga\u00e7\u00e3o do incidente n\u00e3o se confunde com a san\u00e7\u00e3o de publiciza\u00e7\u00e3o da infra\u00e7\u00e3o de que trata no art. 52, IV, da LGPD.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

\u00a7 7\u00ba Na determina\u00e7\u00e3o das medidas para reverter ou mitigar os efeitos do incidente, ser\u00e3o consideradas aquelas que possam garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, bem como minimizar os efeitos decorrentes do incidente para os titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 20. Como medida de transpar\u00eancia ativa, a ANPD poder\u00e1 divulgar, em seu s\u00edtio eletr\u00f4nico, informa\u00e7\u00f5es estat\u00edsticas agregadas relativas aos incidentes de seguran\u00e7a.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 21. A ANPD poder\u00e1 instaurar processo administrativo sancionador caso o controlador n\u00e3o adote as medidas para reverter ou mitigar os efeitos do incidente de seguran\u00e7a no prazo e nas condi\u00e7\u00f5es determinadas pela Autoridade.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 22. As provid\u00eancias descritas no art. 19 deste Regulamento n\u00e3o constituem san\u00e7\u00f5es ao agente regulado, sendo equiparadas \u00e0s medidas decorrentes da atividade preventiva, nos termos do Regulamento do Processo de Fiscaliza\u00e7\u00e3o e do Processo Administrativo Sancionador no \u00e2mbito da Autoridade Nacional de Prote\u00e7\u00e3o de Dados, aprovado pela Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 1, de 28 de outubro de 2021.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Se\u00e7\u00e3o IV<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Da Extin\u00e7\u00e3o do Processo de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 23. O processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a ser\u00e1 declarado extinto nas seguintes hip\u00f3teses:<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

I – caso n\u00e3o sejam identificadas evid\u00eancias suficientes da ocorr\u00eancia do incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

II – caso a ANPD considere que o incidente n\u00e3o possui potencial para acarretar risco ou dano relevante aos titulares, nos termos do art. 5\u00ba deste Regulamento;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

III – caso o incidente n\u00e3o envolva dados pessoais;<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

IV – caso tenham sido tomadas todas as medidas adicionais para mitiga\u00e7\u00e3o ou revers\u00e3o dos efeitos gerados; ou<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

V – realiza\u00e7\u00e3o da comunica\u00e7\u00e3o aos titulares e ado\u00e7\u00e3o das provid\u00eancias pertinentes pelo controlador, em conformidade com a LGPD, as disposi\u00e7\u00f5es deste Regulamento e as determina\u00e7\u00f5es da ANPD.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Par\u00e1grafo \u00fanico. Na hip\u00f3tese do inciso II do caput, mesmo com a declara\u00e7\u00e3o da extin\u00e7\u00e3o do processo de comunica\u00e7\u00e3o de incidente de seguran\u00e7a, a ANPD poder\u00e1 determinar a ado\u00e7\u00e3o de medidas de seguran\u00e7a diretamente relacionadas ao incidente, com o intuito de salvaguardar os direitos dos titulares.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

CAP\u00cdTULO VI<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

DAS DISPOSI\u00c7\u00d5ES FINAIS<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Art. 24. As disposi\u00e7\u00f5es constantes deste Regulamento aplicam-se aos processos de comunica\u00e7\u00e3o de incidentes de seguran\u00e7a em curso quando da sua entrada em vigor, respeitados os atos processuais praticados e consolidados.<\/p>\r\n\r\n\r\n\r\n

<\/div>\r\n\r\n\r\n\r\n

Este conte\u00fado n\u00e3o substitui o publicado na vers\u00e3o certificada.<\/p>\r\n","protected":false},"excerpt":{"rendered":"

Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 15, de 24 de abril de 2024 DI\u00c1RIO OFICIAL DA UNI\u00c3O Publicado em: 26\/04\/2024 | Edi\u00e7\u00e3o: 81 | Se\u00e7\u00e3o: 1 | P\u00e1gina: 114 \u00d3rg\u00e3o: Minist\u00e9rio da Justi\u00e7a e Seguran\u00e7a P\u00fablica\/Autoridade Nacional de Prote\u00e7\u00e3o de Dados\/Conselho Diretor RESOLU\u00c7\u00c3O CD\/ANPD N\u00ba 15, DE 24 DE ABRIL DE 2024 Aprova o Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a. O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE […]<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[26],"lgpd":[],"publicacoes-anpd":[],"class_list":["post-1162","post","type-post","status-publish","format-standard","hentry","category-anpd","tag-regulamentacao-da-anpd"],"yoast_head":"\nRegulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub\" \/>\n<meta property=\"og:description\" content=\"Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 15, de 24 de abril de 2024 DI\u00c1RIO OFICIAL DA UNI\u00c3O Publicado em: 26\/04\/2024 | Edi\u00e7\u00e3o: 81 | Se\u00e7\u00e3o: 1 | P\u00e1gina: 114 \u00d3rg\u00e3o: Minist\u00e9rio da Justi\u00e7a e Seguran\u00e7a P\u00fablica\/Autoridade Nacional de Prote\u00e7\u00e3o de Dados\/Conselho Diretor RESOLU\u00c7\u00c3O CD\/ANPD N\u00ba 15, DE 24 DE ABRIL DE 2024 Aprova o Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a. O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\" \/>\n<meta property=\"og:site_name\" content=\"PrivacyHub\" \/>\n<meta property=\"article:published_time\" content=\"2024-05-15T18:07:11+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-20T13:25:50+00:00\" \/>\n<meta name=\"author\" content=\"Isabelli\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Isabelli\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"21 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\"},\"author\":{\"name\":\"Isabelli\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20\"},\"headline\":\"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a\",\"datePublished\":\"2024-05-15T18:07:11+00:00\",\"dateModified\":\"2025-08-20T13:25:50+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\"},\"wordCount\":4156,\"commentCount\":0,\"keywords\":[\"Regulamenta\u00e7\u00f5es da ANPD\"],\"articleSection\":[\"anpd\"],\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\",\"url\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\",\"name\":\"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub\",\"isPartOf\":{\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/#website\"},\"datePublished\":\"2024-05-15T18:07:11+00:00\",\"dateModified\":\"2025-08-20T13:25:50+00:00\",\"author\":{\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20\"},\"breadcrumb\":{\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\/\/baptistaluz.com.br\/privacyhub\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/#website\",\"url\":\"https:\/\/baptistaluz.com.br\/privacyhub\/\",\"name\":\"PrivacyHub\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/baptistaluz.com.br\/privacyhub\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20\",\"name\":\"Isabelli\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g\",\"caption\":\"Isabelli\"},\"url\":\"https:\/\/baptistaluz.com.br\/privacyhub\/author\/isabelli\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/","og_locale":"pt_BR","og_type":"article","og_title":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub","og_description":"Resolu\u00e7\u00e3o CD\/ANPD n\u00ba 15, de 24 de abril de 2024 DI\u00c1RIO OFICIAL DA UNI\u00c3O Publicado em: 26\/04\/2024 | Edi\u00e7\u00e3o: 81 | Se\u00e7\u00e3o: 1 | P\u00e1gina: 114 \u00d3rg\u00e3o: Minist\u00e9rio da Justi\u00e7a e Seguran\u00e7a P\u00fablica\/Autoridade Nacional de Prote\u00e7\u00e3o de Dados\/Conselho Diretor RESOLU\u00c7\u00c3O CD\/ANPD N\u00ba 15, DE 24 DE ABRIL DE 2024 Aprova o Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a. O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE […]","og_url":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/","og_site_name":"PrivacyHub","article_published_time":"2024-05-15T18:07:11+00:00","article_modified_time":"2025-08-20T13:25:50+00:00","author":"Isabelli","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Isabelli","Est. tempo de leitura":"21 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#article","isPartOf":{"@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/"},"author":{"name":"Isabelli","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20"},"headline":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a","datePublished":"2024-05-15T18:07:11+00:00","dateModified":"2025-08-20T13:25:50+00:00","mainEntityOfPage":{"@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/"},"wordCount":4156,"commentCount":0,"keywords":["Regulamenta\u00e7\u00f5es da ANPD"],"articleSection":["anpd"],"inLanguage":"pt-BR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/","url":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/","name":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a - PrivacyHub","isPartOf":{"@id":"https:\/\/baptistaluz.com.br\/privacyhub\/#website"},"datePublished":"2024-05-15T18:07:11+00:00","dateModified":"2025-08-20T13:25:50+00:00","author":{"@id":"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20"},"breadcrumb":{"@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/resolucao-cd-anpd-no-15-de-24-de-abril-de-2024\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/baptistaluz.com.br\/privacyhub\/"},{"@type":"ListItem","position":2,"name":"Regulamento de Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a"}]},{"@type":"WebSite","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/#website","url":"https:\/\/baptistaluz.com.br\/privacyhub\/","name":"PrivacyHub","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/baptistaluz.com.br\/privacyhub\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/baptistaluz.com.br\/privacyhub\/#\/schema\/person\/219a6f05ff7bb8ff256f5e720be4ec20","name":"Isabelli","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/0454b366f9cc56bfe2251ae9c33a5f73b21006f9d7e71fcc537daa833e9d9224?s=96&d=mm&r=g","caption":"Isabelli"},"url":"https:\/\/baptistaluz.com.br\/privacyhub\/author\/isabelli\/"}]}},"_links":{"self":[{"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/posts\/1162","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/comments?post=1162"}],"version-history":[{"count":3,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/posts\/1162\/revisions"}],"predecessor-version":[{"id":6325,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/posts\/1162\/revisions\/6325"}],"wp:attachment":[{"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/media?parent=1162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/categories?post=1162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/tags?post=1162"},{"taxonomy":"lgpd","embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/lgpd?post=1162"},{"taxonomy":"publicacoes-anpd","embeddable":true,"href":"https:\/\/baptistaluz.com.br\/privacyhub\/wp-json\/wp\/v2\/publicacoes-anpd?post=1162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}