Defensoria Pública do Rio de Janeiro

Atenção!

Seu navegador não pode executar javascript. Alguns recursos podem não funcionar corretamente.

O DEFENSOR PÚBLICO-GERAL DO ESTADO DO RIO DE JANEIRO, no uso das atribuições que lhe foram conferidas pelo art. 8º, I, da Lei Complementar Estadual n° 06/77, e pelo art. 100, da Lei Complementar nº 80/94,

Considerando o disposto no art. 48, da Lei n° 13.709/18, que trata da comunicação do incidente de segurança em matéria de proteção de dados pessoais;

Considerando o disposto no art. 50, § 2º, da Lei n° 13.709/18, que trata das boas práticas em proteção de dados;

Considerando o disposto no art. 6º, VII e VIII, da Lei n° 13.709/18, que determina o tratamento de dados pessoais de acordo com os princípios da segurança e da prevenção;

Considerando a autonomia administrativa da Defensoria Pública, consagrada no art. 134, § 4º, da CRFB/88;

Considerando o disposto nos arts. 3º, III, e 7º, IV, da Resolução DPGERJ n° 1090/2021;

Considerando a Resolução ANPD nº 15, de 24 de abril de 2024, através da qual foi aprovado o Regulamento de Comunicação de Incidente de Segurança;

Considerando o constante do Processo SEI E-020/001.002644/2025;

Considerando que o processo de adequação à LGPD deve se dar de forma continuada, sendo que a elaboração de plano preliminar não afasta a necessidade de aperfeiçoamento do plano;

Considerando a necessidade premente de criação de fluxo para eventual ocorrência de incidente de segurança envolvendo dados pessoais,

RESOLVE:

Art. 1º - O Anexo Único da Resolução DPGERJ nº 1142 de 25 de abril de 2022 passa a vigorar com a seguinte redação:

"ANEXO ÚNICO

PLANO DE RESPOSTA A INCIDENTES DE SEGURANÇA

I - DISPOSIÇÕES GERAIS

Art. 1º - O presente Plano de Resposta a Incidentes de Segurança contemplará um conjunto de diretrizes para a identificação e detecção de incidentes envolvendo dados pessoais no âmbito da Defensoria Pública do Estado do Rio de Janeiro, bem como a comunicação adequada às autoridades responsáveis pela proteção de dados e aos titulares envolvidos.

§ 1º - As diretrizes serão divididas em funções que expressem a gestão do risco organizacional, que permitam decisões adequadas para a identificação e detecção de ameaças, a melhor gestão de práticas e de metodologias existentes para a reversão ou mitigação dos efeitos do incidente e sua comunicação eficiente.

§ 2º - As diretrizes poderão ser adaptadas, incrementadas ou ajustadas considerando a realidade de cada incidente ocorrido, a adoção de novas técnicas, a alteração legislativa e as orientações vindouras da Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema.

Art. 2º - Para os fins deste Plano, considera-se incidente de segurança com dados pessoais qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento, imobilização de sistemas, indisponibilidade, desfiguração, ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita que possa ocasionar risco ou dano relevante para os direitos e liberdades do titular dos dados pessoais.

II - DA GESTÃO E DO PROCEDIMENTO DE APURAÇÃO DE INCIDENTES DE SEGURANÇA

Art. 3º - A gestão de incidentes de segurança é realizada por meio de processo definido e constituído formalmente, observadas as diretrizes ora estatuídas, bem como o prazo e o procedimento previstos na Resolução ANPD nº 15/24.

Art. 4º - Na fase de detecção:

I - caso qualquer agente interno da Defensoria Pública do Estado do Rio de Janeiro, seja defensor, servidor do quadro permanente, extraquadros, cedido, terceirizado, aluno-residente ou estagiário, tenha ciência de evento que possa configurar um incidente de segurança, deverá comunicá-lo imediatamente ao órgão Encarregado de Proteção de Dados, endereçando e-mail ou processo administrativo próprio e sigiloso;

II - caso qualquer operador tenha ciência de evento que possa configurar um incidente de segurança, deverá comunicá-lo imediatamente à Defensoria Pública do Estado do Rio de Janeiro, enquanto órgão controlador, endereçando e-mail ou processo administrativo próprio e sigiloso;

III - caso qualquer interessado tenha ciência de evento que possa configurar um incidente de segurança, poderá comunicá-lo ao órgão Encarregado de Proteção de Dados, endereçando e-mail ou processo administrativo próprio e sigiloso.

Art. 5º - Nas hipóteses dos artigos 4º, o comunicante deverá fornecer as seguintes informações:

I – nome, telefone e e-mail;

II - descrição resumida do suposto incidente;

III - motivos pelos quais entende que o suposto incidente tenha relação com a gestão de dados pela Defensoria Pública do Estado do Rio de Janeiro;

IV – data do suposto incidente ou data provável, caso não tenha certeza da data;

V – caso o comunicado tenha sido feito somente após 24 horas a contar da data do suposto incidente, a justificativa pela qual a comunicação não se deu neste prazo;

VI - apontamento de dados pessoais dos quais seja titular que o comunicante suspeita tenham sido atingidos pelo incidente, se houver;

VII – se possível for a identificação:

a) o apontamento de dados pessoais de terceiros que o comunicante suspeita tenham sido atingidos pelo incidente, se houver;

b) a quantidade de titulares de dados pessoais que o comunicante estima tenham sido atingidos pelo incidente;

c) a natureza da relação entre os titulares de dados supostamente atingidos com o controlador.

Art. 6º - Caso a comunicação não contenha todos os requisitos previstos no art. 5º desta Resolução, o órgão Encarregado de Proteção de Dados poderá solicitar ao comunicante a complementação das informações no prazo de 24 (vinte e quatro) horas.

Art. 7º - Após verificar o preenchimento dos requisitos do art. 5º desta Resolução, o Encarregado de Proteção de Dados deverá avaliar a veracidade e confirmação da relevância do incidente, e, caso entenda que há elementos suficientes que possam comprovar a possibilidade de vazamento de dados, enviará o procedimento à Secretaria de Tecnologia da Informação e Comunicação, para confirmação do possível vazamento e início da fase triagem, análise e resposta.

Parágrafo único – Caso os fatos não envolvam ataques cibernéticos a sistemas, ativos, dados e a recursos de tecnologia da informação e comunicação, o órgão encarregado encaminhará o procedimento ao Controle Interno para adoção de providências e elaboração de relatório, aplicando-se, no que couber, o artigo 8º desta Resolução.

Art. 8º - A Secretaria de Tecnologia da Informação e Comunicação apresentará parecer sobre a possibilidade de comprovação do incidente reportado e, em caso de confirmação, apresentará relatório do incidente ao órgão Encarregado de Proteção de Dados, no qual deverão constar:

I – a data e hora da detecção do incidente;

II – a data e hora do incidente e sua duração;

III – as circunstâncias em que ocorreu a violação de segurança de dados pessoais (por exemplo, perda, roubo, cópia, vazamento);

IV – a descrição dos dados pessoais e informações afetadas, tais como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados;

V – o resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento;

VI – as possíveis consequências e efeitos negativos sobre os titulares dos dados afetados;

VII – as medidas técnicas de segurança preventivas tomadas para reverter ou mitigar os efeitos do incidente e que possam garantir a confidencialidade, a integridade, a disponibilidade e a autenticidade dos dados pessoais afetados;

VIII - resumo das medidas técnicas implementadas até o momento para controlar os possíveis danos;

IX - possíveis problemas de natureza transfronteiriça;

X - outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Parágrafo único - A Secretaria de Tecnologia da Informação e Comunicação deverá apresentar o relatório no prazo indicativo de 1 (um) dia útil, contado da data do conhecimento do incidente, sem prejuízo de posterior complementação.

III – DA COMUNICAÇÃO DO INCIDENTE À ANPD

Art. 9º – Recebido o relatório da Secretaria de Tecnologia da Informação e Comunicação e coletadas as demais informações necessárias, a Defensoria Pública do Estado do Rio de Janeiro, através do órgão Encarregado de Dados Pessoais, fica obrigada a comunicar à Autoridade Nacional de Proteção de Dados quando o incidente de segurança puder acarretar risco ou dano relevante aos titulares, afetando significativamente interesses e direitos fundamentais, e quando envolver, cumulativamente, pelo menos um dos seguintes critérios:

I - dados pessoais sensíveis;

II - dados de pessoas em situação de vulnerabilidade, como crianças, adolescentes ou idosos;

III - dados financeiros;

IV - dados de autenticação em sistemas;

V - dados protegidos por sigilo legal, judicial ou profissional;

VI - dados em larga escala.

§ 1º - Considera-se afetado significativamente o interesse e o direito fundamental quando, dentre outras situações, tiver potencial para ocasionar danos materiais ou morais, tais como discriminação, violação à integridade física, ao direito de imagem e à reputação, fraudes financeiras ou roubo de identidade.

§ 2º - Ainda quando da avaliação da relevância do risco ou dano, deverá ser considerado o volume de dados envolvidos, o quantitativo de pessoas afetadas, a duração, a frequência, a extensão geográfica de localização dos titulares, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente, assim como a facilidade de identificação dos titulares por terceiros não autorizados.

§ 3º - A comunicação será feita no prazo de 3 (três) dias úteis, contados da data do conhecimento do incidente, sem prejuízo de posterior complementação.

§ 4º - A comunicação deverá conter as informações exigidas no art. 48, § 1º, da Lei n° 13.709/18, e no art. 6, § 2º, da Resolução ANPD nº 15/24, e será feita através do formulário eletrônico disponibilizado pela Autoridade Nacional em seu portal, incluindo:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no § 3º deste artigo;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

VIII - os dados do encarregado ou de quem represente o controlador;

IX - a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

X - a identificação do operador, quando aplicável;

XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la;

XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente;

IV – DA COMUNICAÇÃO DO INCIDENTE AOS TITULARES DOS DADOS PESSOAIS

Art. 10 – A Defensoria Pública do Estado do Rio de Janeiro, através do órgão Encarregado de Proteção de Dados, comunicará aos titulares a ocorrência do incidente de segurança que possa acarretar risco ou dano relevante, em linguagem simples e de fácil entendimento, e de forma direta e individualizada, quando seja possível a identificação dos titulares, as seguintes informações:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

III - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

IV - os motivos da demora, no caso de a comunicação não ter sido feita no prazo do § 1º deste artigo;

V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis;

VI - a data do conhecimento do incidente de segurança;

VII - o contato para obtenção de informações e, quando aplicável, os dados de contato do encarregado.

§ 1º - A comunicação aos titulares será realizada no prazo de 3 (três) dias úteis, contados do conhecimento, pela Defensoria Pública do Estado do Rio de Janeiro, de que o incidente afetou dados pessoais.

§ 2º - A depender da gravidade do incidente, do número de titulares afetados e da impossibilidade de identificar os titulares afetados, a comunicação será feita mediante divulgação do fato no sítio eletrônico da Defensoria Pública do Estado do Rio de Janeiro, no aplicativo, nas redes sociais e nos demais meios de comunicação oficiais da instituição, bem como a articulação junto à Ouvidoria Geral, para veicular informe à sociedade civil.

§ 3º - A comunicação do incidente deverá ser acompanhada de orientações acerca das medidas capazes de reverter ou mitigar os efeitos do incidente pelo próprio titular do dado pessoal, quando possível.

Art. 11 – Ainda que o evento não seja caracterizado como incidente de segurança, o resultado da apuração será informado direta e individualmente aos titulares dos dados pessoais identificados, que estejam envolvidos no evento e que tenham tomado a iniciativa da comunicação, através do e-mail indicado no requerimento.

V – DO RELATÓRIO DE TRATAMENTO DO INCIDENTE DE SEGURANÇA

Art. 12 – O órgão Encarregado de Proteção de Dados elaborará relatório de tratamento do incidente de segurança, contendo dados e informações relevantes para descrever o evento e as providências adotadas para reverter ou mitigar os seus efeitos, na forma do art. 10, da Resolução ANPD nº 15/24.

VI – DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 13 – No prazo de 3 (três) meses a contar da publicação da presente Resolução, a Secretaria de Tecnologia da Informação e Comunicação promoverá a revisão dos protocolos técnicos específicos de prevenção e resposta a incidentes de segurança, para adequá-los aos termos da presente norma.

Art. 14 – Os casos omissos serão decididos pelo Defensor Público-Geral."

Art. 2º – Esta Resolução entrará em vigor na data de sua publicação.

Rio de Janeiro, 23 de junho de 2025.

PAULO VINÍCIUS COZZOLINO ABRAHÃO

Defensor Público-Geral do Estado

VOLTAR