Última Atualização 4 de março de 2025
Lei 13.709 de 14 de agosto de 2018:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autoriz ados a acessá-los.
FGV (2024):
QUESTÃO CERTA: O TRF1 realiza o tratamento de dados pessoais dos usuários dos serviços jurisdicionais, em especial, os dados registrados nos processos tramitados no sistema de processo judicial eletrônico (PJe). Caso um incidente de segurança comprometa a disponibilidade do sistema PJe, a Autoridade Nacional de Proteção de Dados deverá ser comunicada: em até três dias úteis, se a ocorrência de violação de dados pessoais for confirmada e acarretar risco ou dano relevante aos titulares.
RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024
Art. 4º O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 6º A comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de TRÊS DIAS ÚTEIS, ressalvada a existência de prazo para comunicação previsto em legislação específica.
LGPD – L13.709/18. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
