Comunicação de incidente: Boas práticas do município do Rio de Janeiro

1. Introdução

Em um ambiente cada vez mais digital, a proteção dos dados pessoais surge como um dos aspectos essenciais para garantir a privacidade e a confiança dos cidadãos, titulares de dados pessoais tratados pelo Poder Público. 

A comunicação ágil e eficiente sobre incidentes de segurança é fundamental para cumprir regulamentações, minimizar danos e assegurar a transparência da Administração Pública perante a sociedade; no Brasil, essa dinâmica foi reforçada pela LGPD de 2018 e pela resolução CD/ANPD 15/24, que estabeleceram responsabilidades claras, prazos e processos para a notificação de incidentes envolvendo dados pessoais. 

Este artigo propõe realizar uma análise sobre a comunicação de incidentes de segurança envolvendo dados pessoais na modelagem adotada no município do Rio de Janeiro, levando em conta aspectos técnicos, legais e operacionais. Para isso, utiliza-se uma abordagem que integra a análise da base teórica e das normas dos dispositivos legais brasileiros. 

2. Fundamentação teórica e normativa

A fundamentação teórica e normativa deste estudo integra os pilares que sustentam a proteção dos dados pessoais, combinando a evolução legislativa observada no cenário brasileiro, e destacando como dispositivos como a LGPD e a resolução CD/ANPD 15/24 têm moldado os processos de comunicação de incidentes de segurança de dados pessoais.  

Essa base teórica e normativa não só reflete as transformações trazidas pela digitalização acelerada, mas também enfatiza a importância de mecanismos ágeis e transparentes para a mitigação dos riscos e a preservação da confiança dos titulares dos dados. 

2.1. A evolução da regulação da proteção de dados 

Como dito, a digitalização acelerada e o crescimento exponencial de dados pessoais impulsionaram a criação de marcos regulatórios sólidos. 

É importante lembrar que o art. 12 da Declaração Universal dos Direitos Humanos de 1948 já afirmava que "ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação" (UNICEF, 1948).  

Já a Convenção 108, disponibilizada pelo Conselho da Europa em 1981, que estabeleceu princípios fundamentais de proteção de dados, e o regulamento 2016/679 (RGPD - Regulamento Geral sobre a Proteção de Dados) da União Europeia em 2018, que reestruturou as normas de privacidade europeias.  

No Brasil, o marco civil da internet de 2014 iniciou a regulação do ambiente digital, seguido pela LGPD, publicada em 2018, que definiu direitos individuais e exigências rigorosas para o tratamento de dados, e pela EC 115/22, que elevou a proteção de dados pessoais ao status de garantia fundamental, reforçando a defesa dos direitos individuais e alinhando o país aos padrões internacionais de privacidade. 

Esses marcos refletem a evolução global na proteção de dados. A inclusão constitucional da proteção de dados no Brasil fortalece a confiança na utilização de tecnologias digitais, demonstrando um compromisso com a privacidade e segurança das informações dos cidadãos em um mundo cada vez mais conectado. 

2.2. Resolução CD/ANPD 15/24 e as orientações da ANPD 

A publicação da resolução CD/ANPD 15/24 marcou um passo de extrema relevância na efetivação do art. 48 da LGPD, esclarecendo os passos a serem seguidos para a comunicação de incidentes de segurança envolvendo dados pessoais. 

Tal norma, complementada pelas orientações da ANPD, especificamente no CIS - Comunicado de Incidente de Segurança, destaca a importância de uma resposta rápida e eficiente, essencial para conter e minimizar os danos resultantes de brechas na segurança dos dados.  

Ao definir critérios, prazos e responsabilidades, a resolução visou criar um ambiente mais transparente e seguro, fortalecendo a confiança dos titulares dos dados e garantindo que se aja com a diligência necessária em situações de incidentes.  

Assim, essas diretrizes reforçam que a transparência e a agilidade são fundamentais para mitigar os impactos negativos dos incidentes de segurança, assegurando a proteção e a tranquilidade dos cidadãos. 

A comunicação voluntária de incidentes de segurança pelo controlador é vista pela ANPD como um sinal de transparência, cooperação e boa-fé, o que pode ser benéfico durante as fiscalizações. No entanto, a comunicação não garante automaticamente a isenção de sanções. Caso um incidente que exija comunicação não seja reportado, a ANPD pode aplicar penalidades devido ao descumprimento da resolução CD/ANPD no 15/24. A transparência é crucial para fornecer informações claras e precisas sobre os riscos e as ações adotadas.  

Ressalte-se, desta forma, que a agilidade na resposta ao incidente é de suma importância para minimizar impactos e evitar a ampliação de danos, e a responsabilidade e prestação de contas exigem que os agentes de tratamento estejam prontos para implementar medidas corretivas e preventivas, conforme o art. 46 da LGPD. O art. 52 enfatiza a importância da cooperação entre organizações, reguladores e sociedade, promovendo a segurança e integridade dos dados em um cenário digital desafiador. 

3. A comunicação de incidentes de segurança de dados pessoais na prática 

A implementação da comunicação de incidentes de segurança de dados na prática requer uma série de procedimentos bem estruturados, desde a detecção inicial do problema até a formalização do registro e a notificação à ANPD e aos titulares dos dados envolvidos.  

De acordo com a resolução CD/ANPD 15/24, cada fase deve ser meticulosamente documentada, garantindo transparência, rastreabilidade e possibilitando a melhoria contínua dos sistemas de segurança. Essa abordagem sistemática é essencial para o cumprimento dos princípios de proteção de dados e para reforçar a confiança tanto dos titulares quanto das autoridades reguladoras. 

3.1 Procedimentos operacionais 

A resolução CD/ANPD 15/24 destaca a importância de uma abordagem padronizada e orientada por risco, com ênfase em relatórios detalhados para análise posterior, além da comunicação clara com o titular e com a autoridade fiscalizatória.  

Em conformidade com o art. 4º, é exigido, como critério geral, que o controlador comunique à ANPD e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.  

Já o art. 5º exige uma análise técnica detalhada que adota uma abordagem cumulativa do critério geral descrito no art. 4º aos critérios específicos dos incisos do art. 5º na avaliação da comunicação do incidente. Assim, ocorrendo cumulativamente o critério geral do art. 4º com pelo menos um dos critérios específicos descritos no art. 5º, há a necessidade de se comunicar o incidente ocorrido. 

Esses procedimentos garantem uma notificação completa e fundamentada, facilitando a intervenção e o monitoramento contínuo das medidas de contenção e mitigação adotadas. A sistematização desses artigos foi proposta no webinário do Fórum de Proteção de Dados Pessoais dos Municípios, visando simplificar a compreensão e aplicação das normas, conforme mapa mental abaixo:  

 

Figura 1 - Fonte: elaborado pelo autor     

3.1.1. Comunicação à ANPD 

A resolução CD/ANPD 15/24, em seu art. 6º, estabelece que a comunicação de um incidente de segurança à ANPD deve incluir informações detalhadas, como a natureza do incidente, a quantidade de dados afetados, as medidas de contenção e os riscos envolvidos.  

Ressalte-se que a notificação deve ser feita em até três dias úteis após a ciência do incidente, permitindo que a ANPD avalie rapidamente a situação. Há possibilidade de que as informações possam ser complementadas, de maneira fundamentada, no prazo de até vinte dias úteis, a contar da data da comunicação. Para agentes de pequeno porte, esses prazos são dobrados, conforme a Resolução em comento. 

Além disso, a comunicação deve conter, no mínimo, 12 informações essenciais listadas nos incisos do art. 6º, que incluem detalhes fundamentais para uma compreensão completa do incidente.  

Conforme se observa na imagem abaixo, são muitas as informações exigidas pela autoridade para a comunicação do incidente, fazendo com que o controlador precise levantar muitas informações acerca do tratamento de dados e do incidente em si para cumprir todos os requisitos de documentação exigidos pela resolução CD/ANPD 15/24.      

 Figura 2 - Fonte: elaborado pelo autor 

Ademais, a ANPD orienta que a comunicação de incidentes de segurança seja feita exclusivamente via SEI - Sistema Eletrônico de Informações, garantindo padronização e centralização dos dados, facilitando o acompanhamento e a consulta pública. Importante ressaltar que apenas o encarregado de dados pessoais devidamente habilitado para acessar o sistema SEI em nome do controlador poderá fazer essa comunicação. Assim, é indispensável que exista um Encarregado de Dados formalmente designado, assim como é necessário o cadastro prévio junto à ANPD para ter acesso ao sistema SEI como canal de comunicação do controlador. 

3.1.2. Comunicação aos titulares 

Além de notificar a ANPD, é essencial informar os titulares dos dados de forma clara e rápida sobre o incidente, conforme orientações da autoridade (ANPD, 2025).  

A comunicação deve incluir detalhes do incidente, riscos potenciais e medidas mitigadoras, sendo realizada em até três dias úteis, sem prazo adicional para complementação, ao contrário da notificação à ANPD. Para agentes de pequeno porte, os prazos são dobrados, conforme a resolução CD/ANPD 2, de 2022.  

A mensagem aos titulares deve ser acessível, demonstrando o compromisso da organização com a segurança e transparência, o que ajuda a manter a confiança e preservar a imagem da empresa. 

Conforme se observa na figura 3 abaixo, o comunicado ao titular deve ser bastante detalhado, sendo redigido com linguagem simples, de fácil entendimento e de forma individualizada, caso seja possível identificar individualmente os titulares afetados. Caso não seja possível individualizá-los, deve-se fazer um comunicado geral no sítio eletrônico, aplicativos, mídias sociais e canais de atendimento, deixando-o público por até três meses. 

 

Figura 3 - Fonte: elaborado pelo autor  

3.1.3. Necessidade de registro do incidente 

A Resolução estudada, em seu art. 10º, determina que todos os incidentes de segurança, mesmo aqueles não comunicados à ANPD ou aos titulares, sejam rigorosamente registrados, desde a detecção até a elaboração de relatórios finais. Este registro é crucial para auditorias e a melhoria contínua dos procedimentos de segurança, refletindo o compromisso com a responsabilidade e transparência.  

Neste sentido, os controladores de dados devem preparar relatórios detalhados, que poderão ser eventualmente solicitados pela ANPD, conforme o art. 8º, garantindo que todas as informações estejam documentadas para futuras investigações e fortalecendo a cultura de proteção de dados na organização. 

3.1.4. Fluxo procedimental de comunicação de incidentes de segurança adotado no município do Rio de Janeiro 

A Prefeitura da Cidade do Rio de Janeiro possui uma Política Municipal de Proteção de Dados Pessoais regulamentada por meio do decreto Rio 54.984 de 21/8/24. Nesta política são destacados os três elementos fundamentais da estratégia de governança em privacidade e proteção de dados pessoais de uma organização, que são: atores-chave, instrumentos e processos. Entre os atores-chave, destaca-se a atuação do Comitê de Proteção de Dados Pessoais e da Privacidade, que, nos termos do art. 20 do referido decreto, é o responsável pela elaboração dos instrumentos do Programa de Governança em Privacidade e Proteção de Dados Pessoais que cada órgão ou entidade municipal precisa implementar.  

Cada órgão e entidade da Administração Pública municipal possui formalizado, em sua estrutura administrativa, o seu respectivo Comitê de Privacidade e Proteção de Dados Pessoais. Este Comitê possui uma série de competências fundamentais para materializar as regras de governança constantes no art. 50 da LGPD.  

No tocante à questão dos incidentes, o art. 20, § 1º do decreto Rio 54.984 de 21/24 estabelece, em seus incisos IV e V, que cabe ao Comitê analisar o nível de criticidade em caso de incidente de segurança com dados pessoais e acionar o profissional da tecnologia da informação, se for o caso; e documentar as respostas aos incidentes relacionados a recursos computacionais ou físicos.  

Importante destacar que, mesmo na hipótese de um incidente que não seja passível de comunicação para a ANPD e para os titulares, caberá ao Comitê elaborar as documentações de registro do incidente constantes do art. 10º da resolução CD/ANPD 15/24, reforçando a importância do Comitê na ocorrência de incidentes. 

Ainda é pertinente destacar que nos termos do art. 20, § 2º do decreto Rio 54.984/24, o Comitê de Privacidade e Proteção de Dados Pessoais deverá ser coordenado pelo encarregado de dados setorial do órgão ou entidade. Assim, uma vez que o Comitê tenha finalizado a elaboração das documentações constantes da resolução CD/ANPD 15/24, caberá ao encarregado de dados fazer o envio das documentações via SEI da ANPD, fazendo com que o encarregado participe da elaboração dos documentos acerca do incidente desde o início dos trabalhos realizados pelo Comitê. 

Neste contexto, com o objetivo de capacitar e sensibilizar o corpo de servidores para as diferentes temáticas que são tratadas dentro do PGPPPDP - Programa de Governança em Privacidade e Proteção dos Dados Pessoais, foi pensada a trilha de formação em privacidade e proteção de dados pessoais com a inclusão dos temas de segurança de dados e comunicação de Incidentes para os encarregados de dados pessoais, para os membros de Comitês de Privacidade e Proteção de Dados Pessoais e para os agentes públicos que lidam com atendimento direto ao cidadão da administração pública municipal 

A metodologia utilizada foi pensada no desenvolvimento das competências adequadas para serem exercidas dentro do escopo de suas respectivas atribuições que lhes são pertinentes.  

Neste sentido, é possível compreender a competência como sendo a qualidade de se estar adequado e bem qualificado em determinado contexto e se caracteriza por se ter um conjunto de capacidades que envolve conhecimentos (ter o saber), habilidades (saber fazer) e atitudes (querer e mobilizar o fazer) em uma situação específica, conhecida como a metodologia CHA. 

Dentro da gestão por competências, o aspecto do conhecimento (C) remete às informações que são assimiladas e estruturadas pelos indivíduos, possibilitando que entendam a realidade que os cercam enquanto a habilidade (H) remete à capacidade de agir com base em técnica e aptidão. Agora, as atitudes (A) envolvem questões comportamentais e sociais, como por exemplo o comprometimento, a motivação e o relacionamento interpessoal. Estes aspectos se configuram de forma interdependente, agregando valor às pessoas e às organizações. 

Desta forma, ao se buscar desenvolver esse conjunto de competências na rede de encarregados de dados pessoais da Prefeitura da Cidade do Rio de Janeiro, bem como para os integrantes da rede de Comitês de Privacidade e Proteção de Dados Pessoais, se espera a obtenção de um desempenho que possua valor para os órgãos e entidades municipais e para os servidores e agentes públicos, o que evidencia a importância do desenvolvimento de competências individuais aliadas à estratégia organizacional que não se distancie da Política Carioca de Desenvolvimento de Gestores, pois, embora esta política seja de competência do Instituto Fundação João Goulart, é possível tirar grandes e valiosas aplicações para o desenvolvimento da gestão de pessoas.  

Assim, cria-se um processo articulado, orgânico e de alto desempenho onde as instituições públicas transferem o conhecimento às pessoas, que, por sua vez, colaboram com as instituições por meio de suas experiências.  

4. Conclusão 

A comunicação de incidentes de segurança de dados pessoais é essencial para garantir transparência, agilidade e responsabilidade dos agentes de tratamento, conforme reforçado pela resolução CD/ANPD 15/24 e as diretrizes da ANPD. Tanto a LGPD quanto a resolução têm como objetivo central proteger os direitos fundamentais dos titulares de dados, mitigando danos de falhas de segurança e reforçando a confiança pública e a reputação das organizações. 

Como visto, a comunicação de incidentes de segurança enfrenta desafios complexos, desde a identificação imediata e quantificação precisa dos impactos até a integração de sistemas e processos internos para centralizar informações. Essas dificuldades operacionais exigem uma comunicação clara e acessível, demandando preparação constante das equipes e atualização contínua dos procedimentos para cumprir as exigências da LGPD e da Resolução em questão. Superar tais obstáculos requer investimentos em tecnologia, auditorias internas, capacitação e sensibilização dos agentes públicos e uma cultura organizacional focada na segurança de dados. 

Diante dos desafios tecnológicos e ataques cibernéticos cada vez mais sofisticados, é crucial que as instituições adotem estratégias proativas e colaborativas. A harmonização de processos e a capacitação contínua dos agentes públicos são fundamentais para enfrentar ameaças emergentes e promover um ambiente digital seguro e confiável. 

_________

BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidente de segurança. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis . Acesso em: 24 mai. 2025.  

BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Manual do Usuário Externo do SEI!-ANPD e do Módulo de Consulta Pública. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/manualdousuarioexternosei_anpdeconsultapublica_20250304.pdf. Acesso em: 6 abr. 2025.  

BRASIL. ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Competências transversais de um setor público de alto desempenho. Disponível em: . 

BRASIL. ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Elaboração de Planos de Capacitação. Disponível em: . 

BRASIL. GOVERNO DO ESTADO DO RIO DE JANEIRO. Escola Fazendária do Estado do Rio de Janeiro. Plano Anual de Capacitação e Treinamento. Disponível em: https://portal.fazenda.rj.gov.br/efaz/wp-content/uploads/sites/27/2023/09/PACT-2023.pdf. Acesso em 26/6/5. 

BRASIL. LEI No 12.965, DE 23 DE ABRIL DE 2014. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 3/5/5.  

BRASIL. LEI No 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 5/4/25.  

BRASIL. PREFEITURA DO RIO DE JANEIRO. Secretaria Municipal de Integridade e Transparência. Disponível em: https://www.instagram.com/reel/DKS0B9SyqXc/?utm_source=ig_web_copy_link&igsh=MzRlODBiNWFlZA== Acesso em: 24/5/25. 

BRASIL. RESOLUÇÃO CD/ANPD No 15, DE 24 DE ABRIL DE 2024. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024. Acesso em: 6/4/25.  

COUNCIL OF EUROPE. Convention 108 and Protocols - Data Protection - www.coe.int. Disponível em: https://www.coe.int/en/web/data-protection/convention108-and-protocol?utm_source=chatgpt.com. Acesso em: Acesso em: 24/5/25 

DO MEIO AMBIENTE, M. Sensibilização e Capacitação dos Servidores. Disponível em: https://antigo.mma.gov.br/informma/item/528-eixos-tem%C3%A1ticos-sensibiliza%C3%A7%C3%A3o-e-capacita%C3%A7%C3%A3o-dos-servidores.html. Acesso em 26/6/25. 

DO NASCIMENTO, B. et al. Política Carioca de Desenvolvimento de Gestores. Disponível em: https://fjg.prefeitura.rio/politica-carioca-de-desenvolvimento-de-gestores-2/.Acesso em 26/6/25. 

EUROPA. JORNAL OFICIAL DA UNIÃO EUROPEIA. REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 24/5/25.  

FÓRUM DE PROTEÇÃO DE DADOS PESSOAIS DOS MUNICÍPIOS. Incidentes de segurança de dados: como evitá-los e o que fazer se tiver que comunicá-los? Disponível em: https://www.youtube.com/live/djLTAoRsVVM?si=nq7i7gKAh85TsFkx&t=3616. Acesso em: 24/5/25.  

LOTTA, Gabriela. FERNANDEZ, Michelle. MAGRI, Giordano. PIMENTA, Denise Nacif. A linha de frente em tempos de crise [recurso eletrônico]: a atuação dos burocratas de nível de rua na pandemia da Covid-19 no Brasil. Rio de Janeiro: EdUERJ, 2024. 

SILVA, Ana Paula Vasconcellos da. Construindo Um Programa de Governança em Proteção de Dados Pessoais no Poder Público: Boas Práticas Sugeridas. In: Direito Digital - Tendências e Desafios. Org. Ana Paula Canto de Lima e Silvio Maciel e Silva Júnior. Pernambuco: Editora Império, 2025. 

UNICEF. Declaração Universal dos Direitos Humanos. Disponível em: https://www.unicef.org/brazil/declaracao-universal-dos-direitos-humanos. Acesso em: 24/5/25. 

VARGAS, A. C. G.; GUIMARÃES, B. G.; DA SILVA, I. DE J. Plano de capacitação da Prefeitura Municipal de Niterói. Disponível em: https://egg.seplag.niteroi.rj.gov.br/wp-content/uploads/2022/05/plano-de-capacitacao.pdf. Acesso em 26/6/25.