ANPD: o que é e porque é importante

ANPD: o que é e porque é importante

A ANPD, ou Autoridade Nacional de Proteção de Dados, é o órgão governamental responsável por garantir que a Lei Geral de Proteção de Dados (LGPD) seja seguida de forma adequada e respeitada no Brasil.

Ela é importante porque protege a privacidade e o tratamento dos dados dos brasileiros. Também, garante que ninguém faça o uso desses dados de forma errada ou sem permissão. É a ANPD que define o que deve ser comunicado, em quanto tempo e quais informações precisam ser divulgadas, além de aplicar multas e outras punições quando as regras são quebradas.

E o que é a Lei Geral de Proteção de Dados?

E o que é a Lei Geral de Proteção de Dados?

A LGPD (Lei nº 13.709/2018) foi aprovada em agosto de 2018 e entrou em vigor em agosto de 2020, definindo regras para coleta, uso e armazenamento de dados, exigindo consentimento do titular. A lei diferencia dados pessoais (como nome, CPF e e-mail) de dados sensíveis (como os de saúde, religião e orientação sexual), que exigem cuidados extras, visto que podem gerar discriminação. Inspirada na GDPR europeia, a LGPD vale apenas no Brasil e busca assegurar a privacidade e liberdade dos cidadãos.

Clique aqui para acessar o Guia Completo LGPD.

Como era feita a comunicação de incidentes antes e o que mudou com a Resolução nº 15/24?

ANPD section3 creative

Antes, a comunicação de incidentes de segurança com os dados pessoais já era prevista pela LGPD, no artigo 48. No entanto, essa obrigação era genérica, pois não detalhava prazos, formatos, nem critérios específicos para a comunicação.

Faltava clareza sobre como, quando e o que exatamente deveria ser comunicado à ANPD e aos titulares dos dados afetados.

Com a nova Resolução nº 15/24, publicada no dia 26 de abril de 2024, tudo isso mudou. A norma trouxe regras claras e obrigatórias. Saiba mais:

  • 1. Prazo
  • 2. Critério de severidade
  • 3. Registro do incidente
  • 4. Divulgação do incidente
  • 5. Linguagem utilizada
  • 6. Administração do incidente

Prazo

Assim que a organização ficar sabendo que houve um incidente de segurança com dados pessoais, ela tem um prazo máximo de 3 dias úteis para avisar oficialmente tanto a ANPD quanto os titulares dos dados afetados.

A contagem não começa a partir do momento em que o problema aconteceu, mas sim quando a empresa ficou ciente do ocorrido.

Critério de severidade

Para evitar comunicações desnecessárias, foram criados critérios de "risco ou dano relevante" para as empresas saberem quando realmente precisam comunicar à ANPD e aos titulares. Os critérios são:

  • Dados sensíveis: informações sobre saúde, religião, orientação sexual, biometria, etc.
  • Dados de crianças, adolescentes ou idosos: esses grupos são mais vulneráveis, então exige preocupação ainda maior.
  • Grande volume de pessoas: mesmo que o dado não seja tão sensível, se o vazamento atingir milhares de pessoas, o risco aumenta.
  • Possibilidade de afetar direitos fundamentais: como a privacidade, a liberdade de expressão ou a segurança de alguém.

Registro do incidente

Mesmo que o incidente não siga os critérios de risco ou dano relevante para ser comunicado, a organização ainda tem a obrigação de documentar tudo internamente, elaborando um relatório de tratamento do incidente contendo:

  • O que aconteceu;
  • Como a empresa descobriu o problema;
  • As ações tomadas;
  • A avaliação de risco feita.

Esse documento deve ser guardado por 5 anos, garantindo a transparência e a rastreabilidade na gestão de dados, além de manter o registro disponível caso a ANPD o solicite.

Divulgação do incidente

A ANPD pode obrigar a empresa a contar publicamente sobre o incidente, se achar necessário. Para espalhar a conscientização, a divulgação pode ser através do site oficial da empresa, envio de e-mail, aviso aos clientes afetados ou por meio de posts nas redes sociais.

Linguagem utilizada

Toda comunicação sobre incidentes de segurança com dados pessoais deve ser feita em linguagem simples, clara e acessível, tanto para o público quanto para os titulares e a própria autoridade.

Essa exigência está alinhada ao conceito Legal Design, que busca tornar os documentos jurídicos mais compreensíveis através de textos objetivos, linguagem não técnica e recursos visuais. Assim, qualquer pessoa, mesmo sem conhecimento jurídico, pode entender o ocorrido, os riscos e como se proteger.

Administração do incidente

Sempre que acontecer um incidente de segurança, a Autoridade poderá abrir um processo administrativo específico para acompanhar o caso, podendo solicitar informações e documentos da empresa, analisar as medidas que foram tomadas para conter o incidente, verificar se todos os direitos foram respeitados, e realizar uma avaliação de todos os fatores.

Esse processo pode resultar na aplicação de sanções, como advertências ou multas, reforçando a seriedade com que os incidentes devem ser tratados.

Quais ferramentas podem ajudar em
um Incidente de Segurança?

ADAudit Plus

Tenha uma visão ampla do seu ambiente de TI com painéis intuitivos e fáceis de analisar.

Com o ADAudit Plus, é possível receber notificações instantâneas por e-mail e SMS sobre atividades críticas, como a exclusão de um arquivo, além de ter acesso ao recurso UBA, que detecta, investiga e reduz as ameaças como logons maliciosos, movimento lateral, abuso de privilégios, violações de dados e malware. Tudo isso através da análise de comportamento do usuário feito com machine learning (aprendizado de máquina).

Obtenha também mais de 250 modelos de relatórios de auditoria para garantir a conformidade com regulamentações como: LGPD, GDPR, HIPAA, FISMA, GLBA, SOX, PCI DSS e ISO 27001.

DataSecurity Plus

O foco principal da solução é manter o controle completo sobre os dados sensíveis da sua organização.

O DataSecurity Plus conta com o recurso de prevenção contra vazamento de dados (DLP), protegendo todos os arquivos da exposição ou roubo.

  • Crie listas de bloqueio para restringir dispositivos não verificados e reduzir a superfície de ataque.
  • Identifique ocorrências de comportamento anormal do usuário.
  • Faça avaliações de risco no ambiente e correlação de ameaças.
  • Isole dispositivos infectados da rede e interrompa proativamente a propagação de possíveis ataques de ransomware.
  • Detecte e automatize respostas imediatas a ataques de ransomware, tentativas de exfiltração de dados, anomalias na transferência de arquivos.
  • E muito mais.

A solução também se integra facilmente ao Log360 como componente de visibilidade e prevenção de vazamento de dados.

Log360

O Log360 é a solução SIEM mais completa da ManageEngine, com DLP e CASB integrados. Colete e analise logs de diversas fontes, incluindo dispositivos de usuário final, servidores, dispositivos de rede, firewalls, entre outros, em painéis gráficos com informações de fácil leitura e relatórios intuitivos.

Com ele é possível descobrir ataques, detectar comportamentos suspeitos de usuários e avaliar o impacto dos incidentes de segurança. Como? Através do mecanismo TDIR, o Vigil IQ, que detecta, investiga e responde a ameaças no sistema utilizando UEBA, ATA e estrutura MITRE ATT&CK.

A análise forense dentro da ferramenta permite que o administrador de TI trace um padrão de ataque, ajudando a interromper ataques que estão em andamento. Com todas essas funcionalidades, a equipe de TI consegue ter uma visão 360° do ambiente.

ServiceDesk Plus

Dentro de qualquer organização é primordial ter a gestão de serviços bem feita para evitar que os incidentes passem despercebidos.

O ServiceDesk Plus é um portal de autoatendimento feito para facilitar o gerenciamento de ativos, projetos, solicitações, mudanças, problemas e, principalmente, incidentes.

Através de sua plataforma intuitiva, a solução faz todo o ciclo de vida do incidente, desde o momento em que é aberto o chamado, até sua resolução. É possível automatizar todo esse processo com as regras de negócio, onde são configurados os critérios para executar ações personalizadas nos tickets de entrada, como categorização de urgência e impacto.

A ferramenta também se integra com o Log360, melhorando a automação. Assim que um incidente é detectado, é possível tê-lo documentado no ServiceDesk Plus, seguindo a regra de registro do incidente.

Zoho Building

Sobre a ManageEngine

A ManageEngine oferece o mais amplo conjunto de software de gerenciamento de TI do setor. Temos tudo o que você precisa - mais de 60 produtos - para gerenciar todas as suas operações de TI, desde redes e servidores até aplicações, service desk, Active Directory, segurança e endpoints.

Desde 2002, equipes de TI como a sua têm nos procurado para obter softwares acessíveis, ricos em recursos e fáceis de usar.

À medida que você se prepara para os desafios de gerenciamento de TI que estão por vir, nós lideraremos o caminho com novas soluções, integrações contextuais e outros avanços que só podem vir de uma empresa dedicada aos seus clientes. E, como uma divisão da Zoho Corporation, continuaremos a promover o alinhamento entre negócios e TI de que sua empresa precisará para aproveitar as oportunidades no futuro.

Entenda melhor como a ManageEngine pode ajudar sua empresa a estar em conformidade com a Resolução nº 15/24 da ANPD

Converse com nossos especialistas e tire todas as suas dúvidas!

Nome*Insira seu nome
E-mail*Insira um email válido
Telefone*Insira seu número de telefone
Soluções*

  • Gerenciamento de Endpoints
  • Gerenciamento de Senhas
  • Gerenciamento de Acesso Privilegiado
  • Relatórios de Conformidade
  • Análise de Logs (SIEM)
  • Templates de Relatórios LGPD
  • Notificações e Alertas Críticos
  • Segurança e Relatórios de Active Directory
  • Gerenciamento de Chaves SSH/SSL
  • Gerenciamento de Dispositivos Móveis
  • Monitoramento de Integridade de Arquivos
  • Monitoramento de Violação de Dados
Selecione uma Solução
País*

Ao clicar em ‘Enviar’, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Xsuccess

Obrigado por sua
solicitação!