Como proceder em caso de vazamento de dados – dicas para os agentes e titulares de dados pessoais

Vazamento de dados

Nos últimos meses, veículos de comunicação têm noticiado o vazamento de grandes bases de dados, com informações de milhões de brasileiros. É normal que qualquer indivíduo se sinta preocupado e procure métodos para se proteger, como buscar saber se seus dados também foram vazados. A Autoridade Nacional de Proteção de Dados (ANPD) entende relevante compartilhar considerações e orientações a respeito do assunto, incluindo informações de como os agentes e o titular dos dados devem proceder em caso de vazamento de dados pessoais.

A Lei Geral de Proteção de Dados Pessoais (LGPD) determina que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Mesmo com tantos relatos de vazamentos sendo expostos nos últimos dias, há indícios de que parte significativa dessas bases de dados foi exposta antes da instituição da ANPD ou até mesmo antes da entrada em vigor da LGPD.

Entretanto, este fato não isenta essas condutas da devida responsabilização. Qualquer tratamento inadequado ou violação dos dados pessoais realizados a partir da instituição da ANPD e dos prazos indicados na LGPD pode vir a ser responsabilizado, nos termos da Lei e da regulamentação a ser expedida pela Autoridade. Por conta disso, diversas interações com os órgãos de investigação e de segurança vêm sendo realizadas pela ANPD para minimizar os impactos do vazamento de dados aos titulares dos dados.

A grande maioria das fontes desses dados vazados ainda é desconhecida. Conhecendo a origem do vazamento de dados, o cidadão pode entrar em contato diretamente com as organizações controladoras dos dados para questionar se suas informações estão entre as que foram supostamente expostas. Também podem ser consultados quais dados, especificamente, foram atingidos.

O que é um incidente de segurança com dados pessoais?

Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais. Um bom exemplo são casos como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

O art. 47 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Dicas e orientações da ANPD:

O que os agentes de tratamento de dados devem fazer em casos de incidentes de segurança com dados pessoais?


• Avaliar internamente o incidente – natureza, categoria e quantidade de dados afetados, consequências concretas e prováveis. Vide formulário de avaliação constante do sítio eletrônico da ANPD;

• Comunicar ao encarregado (Art. 5º , VIII da LGPD);

• Comunicar ao controlador, se você for o operador, nos termos da LGPD;

• Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD);

• Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º , X da LGPD).

O que comunicar à Autoridade Nacional de Proteção de Dados?

É necessário transmitir informações claras e concisas. Além do que §1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:

1 – Identificação e dados de contato de:

Entidade ou pessoa responsável pelo tratamento

Encarregado de dados ou outra pessoa de contato.

Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.

2 – Informações sobre o incidente de segurança com dados pessoais:


Data e hora da detecção.

Data e hora do incidente e sua duração.

Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.

Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados.

Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.

Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.

Medidas de segurança, técnicas administrativas e preventivas tomadas pelo controlador de acordo com a LGPD.

Resumo das medidas implementadas até o momento para controlar os possíveis danos.

Possíveis problemas de natureza transfronteiriça.

Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.

No momento da comunicação preliminar deverá ser informada à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.

Como o titular pode evitar ou minimizar a exposição de seus dados?

É recomendável ignorar e-mails que declarem que seus dados foram expostos e também a não utilizar sites suspeitos para realizar essa verificação. Mecanismos como estes geralmente requerem que o cidadão compartilhe alguns de seus dados pessoais para realizar a suposta verificação e isso pode aumentar a sua exposição. Esquemas de Phishing também são muito utilizados por atores mal-intencionados e as pessoas devem se atentar a isso.

É importante reforçar a significância da constante troca de senhas e outros dados de acesso aos serviços e às plataformas que foram afetadas por vazamento de dados.
Uma medida simples e que pode minimizar os riscos é a utilização da autenticação de dois ou mais fatores, seja para seu e-mail, redes sociais ou qualquer outro serviço que possua esta opção de segurança.
O titular de dados deve seguir monitorando a atividade nas contas e nos serviços potencialmente relacionados aos dados vazados. Por exemplo: o site REGISTRATO do Banco Central do Brasil permite o acompanhamento de seu CPF/CNPJ em instituições bancárias, onde poderá identificar as contas ativas em bancos, chaves PIX, empréstimos e financiamentos, dentre outras opções. Se verificar que seus dados foram utilizados de maneira fraudulenta – por exemplo, para abrir uma conta ou para adquirir algum bem – , o cidadão deve buscar informações junto aos provedores do serviço, além de reportar a ocorrência à autoridade policial, para viabilizar a apuração e resguardar-se.

Informações obtidas/adaptadas de https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora e https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca