LGPD e Incidentes de Segurança: Tudo o que você precisa saber sobre a Resolução 15/2024

setembro 10, 2024

A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, em 15 de abril de 2024, a Resolução nº 15/2024, que detalha os procedimentos para a comunicação de incidentes de segurança, conforme o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD). A seguir, exploramos os principais aspectos dessa resolução.

Critérios para Comunicação de Incidentes de Segurança

A Resolução nº 15/2024, nos artigos 1º ao 24º, define os procedimentos para comunicar incidentes de segurança que possam causar risco ou dano relevante aos titulares dos dados. O artigo 6º estabelece que os controladores devem notificar a ANPD sobre qualquer incidente de segurança em até três dias úteis após a detecção. Para agentes de tratamento de pequeno porte, o prazo é estendido para seis dias úteis.

Conteúdo da Comunicação de Incidentes

Registro de Incidentes de Segurança

O artigo 6º, §2º, exige que a comunicação inclua informações detalhadas, como:

- Data do incidente;
- Natureza e categoria dos dados afetados;
- Número de titulares impactados;
- Medidas adotadas para correção e mitigação.

Caso necessário, o controlador pode solicitar uma prorrogação de até 20 dias úteis para complementar as informações, desde que justificada, conforme o §3º do mesmo artigo.

Registro de Incidentes de Segurança

Conforme o artigo 10, os controladores devem manter um registro dos incidentes de segurança, incluindo aqueles que não foram comunicados à ANPD ou aos titulares, por no mínimo cinco anos. Este registro é fundamental para garantir a conformidade com as obrigações legais e possibilitar auditorias futuras.

Processo de Comunicação e Auditorias

A ANPD pode realizar auditorias a qualquer momento, como previsto no artigo 12, para coletar informações adicionais e validar as comunicações recebidas. O processo de comunicação pode ser iniciado de ofício ou mediante a formalização pelo controlador, conforme o artigo 13.

Medidas Preventivas e Sanções

No artigo 15, a ANPD tem autoridade para impor medidas preventivas imediatas e fixar multas diárias para assegurar o cumprimento das determinações. O artigo 23 descreve as condições para a extinção do processo de comunicação de incidente, incluindo a ausência de risco relevante ou a implementação completa das medidas de mitigação.

Conclusão

A Resolução nº 15/2024 da ANPD traz diretrizes claras para a comunicação e gestão de incidentes de segurança, exigindo atenção rigorosa dos agentes de tratamento de dados. Para mais detalhes, acesse a resolução completa no Diário Oficial da União.

Quer saber mais sobre a lesgilação brasileira para a segurança de seus dados? Leia nosso blog!

Team SecOffice

Especialistas em cibersegurança, o Time de Segurança SecOffice é dedicado a proteger dados e aplicações na nuvem. Neste post, compartilhamos insights e melhores práticas para garantir a segurança do seu site na nuvem.

Compartilhe nas mídias:

Categorias

Se inscreva e fique por dentro de tudo que acontece no mundo da Cibersugerança moderna e na nuvem.

Sua proteção é nossa prioridade

Assegure seu ambiente digital com nossas soluções inovadoras.

Fale Conosco

As mais lidas:

FRAMEWORKS DE GOVERNANÇA DE TI: ESCOLHA A MELHOR ESTRATÉGIA PARA SUA EMPRESA

25/06/2025

Parceria SecOffice e CrowdStrike: Aumente a Proteção Cibernética da Sua Empresa com Soluções Inovadoras!

24/10/2024