A resposta a ofícios e requisições da Autoridade Nacional de Proteção de Dados (ANPD) ou de outros órgãos reguladores

A resposta a ofícios e requisições da Autoridade Nacional de Proteção de Dados (ANPD) ou de outros órgãos reguladores deve seguir um rito estruturado, focado na transparência, prestação de contas (accountability) e estrito cumprimento de prazos.

Um comunicado de resposta a um incidente de segurança para os clientes

Abaixo estão os procedimentos detalhados para organizar essa resposta, divididos por etapas:

1. Recebimento e Triagem pelo Encarregado (DPO)

Ponto de Contato Oficial: O Encarregado de Proteção de Dados (DPO) é o responsável legal por receber as comunicações da ANPD e de outras autoridades, prestar os esclarecimentos necessários e adotar as providências internas.
Acionamento do Comitê: Em caso de ofícios relacionados a incidentes de segurança, o DPO deve acionar imediatamente o Comitê de Crise da organização para coordenar uma resposta multissetorial (envolvendo TI, Jurídico, Comunicação, etc.).

2. Identificação e Controle de Prazos

O cumprimento do prazo é crítico. O atraso ou a ausência de resposta pode ser considerado obstrução à atividade de fiscalização, caracterizando circunstância agravante e sujeitando a empresa a sanções repressivas.

Ofícios de Fiscalização/Monitoramento (ANPD): Em processos de monitoramento ou instrução, o agente de tratamento geralmente recebe um prazo para manifestação, que costuma ser de 10 dias para apresentar defesa ou esclarecimentos iniciais.
Notificação de Incidente de Segurança (ANPD): A comunicação oficial deve ser feita no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente. Caso não seja possível enviar todas as informações de imediato, pode-se fazer uma comunicação preliminar e complementá-la no prazo de 20 dias úteis.
- (Nota: dependendo do porte da empresa, ATPPs (Agente de tratamento Pequeno Porte) podem ter prazo em dobro, exceto se houver risco à vida/integridade).
Prazos de Outros Órgãos Competentes:
- Bacen (Instituições Financeiras): Comunicação tempestiva em caso de incidentes relevantes.
- Susep (Seguradoras): Prazo máximo de 5 dias úteis a partir do conhecimento do evento.
- Aneel (Setor Elétrico): Assim que o agente tiver ciência da dimensão do incidente.
- Senacon / Autoridades Consumeristas: Comunicação “imediata” aos consumidores e autoridades. No caso de vazamento em Cadastro Positivo, o prazo é de 2 dias úteis.

3. Levantamento de Informações e Evidências (Instrução)

O controlador deve reunir toda a documentação comprobatória exigida. A ANPD tem o poder de requisitar acesso irrestrito a documentos, sistemas e instalações,.

Para Ofícios Gerais (Denúncias/Fiscalização): É necessário fornecer cópias de documentos (físicos ou digitais) que demonstrem a base legal utilizada, a finalidade do tratamento e os registros das operações de tratamento (ROPA),.
Para Ofícios sobre Incidentes: A resposta deve conter, obrigatoriamente,,,:
- A descrição da natureza e categoria dos dados pessoais afetados.
- O número de titulares afetados (discriminando vulneráveis, como crianças ou idosos).
- As medidas técnicas e administrativas de segurança adotadas antes e após o evento.
- Os riscos e impactos possíveis aos titulares.
- A data de ocorrência, data de detecção e, se for o caso, a causa raiz do incidente.
- As medidas adotadas para reverter ou mitigar os danos.
Relatórios Técnicos: A Autoridade pode exigir o envio do Relatório Técnico Forense da investigação e cópia do pedido de resgate de dados (em casos de ransomware),. A ANPD também pode determinar a elaboração e entrega do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

4. Elaboração da Resposta e Sigilo

Clareza e Completude: A resposta ao ofício deve ser redigida apresentando todas as informações solicitadas, atuando como a “defesa” ou manifestação do agente perante os fatos apontados.
Garantia de Sigilo: Ao submeter as informações, o controlador pode e deve solicitar, de maneira fundamentada, o sigilo sobre informações que representem segredo comercial ou industrial, garantindo que a ANPD restrinja o acesso público a esses dados específicos.

5. Envio e Acompanhamento

Meio de Protocolo: As respostas e comunicações à ANPD devem ser protocoladas digitalmente por meio do sistema eletrônico oficial (Sistema Único de Processo Eletrônico em Rede – SUPER ou SEI), devendo o representante demonstrar seus poderes por meio de procuração,.
Cooperação e Boas Práticas: Demonstrar atitude colaborativa e apresentar um plano de resposta a incidentes ou um plano de conformidade (accountability) são fatores atenuantes na dosimetria de eventuais sanções,.
Acompanhamento: Após a resposta, a ANPD emitirá uma nota técnica avaliando os esclarecimentos, podendo determinar o arquivamento, expedir recomendações/medidas preventivas de adequação, ou instaurar um Processo Administrativo Sancionador (PAS).

A resposta a ofícios e requisições da Autoridade Nacional de Proteção de Dados (ANPD) ou de outros órgãos reguladores

#50 – Brasil: País do Futebol e da Esperança?

Primeira vez Escolha do futuro do Brasil

A possibilidade de um confronto entre Estados Unidos e Irã na Copa do Mundo de 2026 é real

Em razão das mudanças climáticas três perguntas objetivas para os candidatos nas eleições de outubro

A preparação para o El Niño fora do Brasil

O cenário de preparação para o El Niño no Brasil

#49 – IhhhhhA

O cansaço como fator de encerramento de uma greve

Atualização significativa do Código Penal para enfrentar o avanço da criminalidade no ambiente virtual

Due diligence na escolha política

A resposta a ofícios e requisições da Autoridade Nacional de Proteção de Dados (ANPD) ou de outros órgãos reguladores

1. Recebimento e Triagem pelo Encarregado (DPO)

2. Identificação e Controle de Prazos

3. Levantamento de Informações e Evidências (Instrução)

4. Elaboração da Resposta e Sigilo

5. Envio e Acompanhamento

Kompar.tilhe:

Curtir isso: