# ANPD - Autoridade Nacional de Proteção de Dados > [!info] Autoridade brasileira responsável por zelar pela proteção dos dados pessoais, fiscalizar e aplicar a LGPD (Lei Geral de Proteção de Dados - Lei 13.709/2018). Todo incidente de segurança com dados pessoais de cidadãos brasileiros deve ser notificado à ANPD. ## Visão Geral A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão do governo federal brasileiro responsável por regulamentar, implementar e fiscalizar o cumprimento da [[lgpd|Lei Geral de Proteção de Dados (LGPD)]]. Criada pela própria LGPD em 2018 e instalada efetivamente em 2020, a ANPD equivale ao equivalente brasileiro do ICO britânico ou da CNIL francesa. A relevância da ANPD para cibersegurança é direta: todo incidente que resulte em acesso não autorizado, vazamento, alteração ou destruição de dados pessoais de titulares brasileiros deve ser notificado à autoridade. As notificações devem ocorrer em prazo definido (72 horas para comunicação inicial à ANPD, 30 dias para relatório completo) e o descumprimento acarreta multas de até 2% do faturamento da pessoa jurídica no Brasil, limitadas a R$ 50 milhões por infração. Do ponto de vista de inteligência de ameaças, os registros de incidentes notificados à ANPD representam fonte valiosa de informação sobre breaches que afetam cidadãos brasileiros. Empresas dos setores [[financial|financeiro]], [[healthcare|saúde]] e [[government|governo]] figuram entre os mais notificadores, refletindo o volume de dados pessoais processados nesses setores. ## Mandato e Missão A ANPD possui competências estabelecidas no Art. 55-J da LGPD: - Zelar pela proteção dos dados pessoais nos termos da legislação - Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade - Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à LGPD - Promover na população o conhecimento das normas e políticas de proteção de dados pessoais - Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares - Articular-se com autoridades de proteção de dados pessoais de outros países ## Relevância para Cibersegurança ```mermaid graph TB ANPD["🛡️ ANPD"] ANPD --> ENF["Enforcement<br/>LGPD"] ANPD --> NOT["Notificação<br/>de Incidentes"] ANPD --> REG["Regulamentação<br/>Setorial"] ANPD --> INT["Cooperação<br/>Internacional"] ENF --> E1["Multas até<br/>R$ 50M / 2% fat."] ENF --> E2["Advertências<br/>Suspensão de atividades"] NOT --> N1["72h comúnicação<br/>inicial"] NOT --> N2["30 dias relatório<br/>completo"] NOT --> N3["Registro público<br/>de incidentes"] REG --> R1["Regulamento de<br/>Incidentes"] REG --> R2["Regulamento de<br/>Comúnicação"] style ANPD fill:#1a1a2e,stroke:#e94560,color:#fff style ENF fill:#16213e,stroke:#dc2626,color:#fff style NOT fill:#16213e,stroke:#0f3460,color:#fff ``` ### Notificação de Incidentes - Fluxo Obrigatório Todo controlador que sofrer incidente de segurança com dados pessoais deve: 1. **Avaliar** se o incidente pode acarretar risco ou dano relevante aos titulares 2. **Comúnicar à ANPD** em até **72 horas** após a ciência do incidente (comunicação inicial) 3. **Comúnicar aos titulares afetados** em prazo razoável 4. **Apresentar relatório completo** em até **30 dias corridos** da comunicação inicial ### Incidentes de Alto Risco (Notificação Obrigatória) - Vazamento de dados sensíveis (saúde, biometria, finanças, origem racial, convicção religiosa) - Acesso não autorizado a grande volume de dados pessoais - Incidentes que possam causar dano material ou imaterial aos titulares - Sequestro de dados (ransomware) com possível exfiltração ## Regulações e Padrões Associados | Framework | Relevância | Status | | --------- | ---------- | ------ | | [[lgpd\|LGPD - Lei 13.709/2018]] | Norma base de atuação da ANPD | Vigente | | Resolução CD/ANPD n.º 2/2022 | Regulamento de incidentes de segurança | Vigente | | Resolução CD/ANPD n.º 4/2023 | Regulamento de dosimetria e sanções | Vigente | | GDPR (UE) | Referência internacional - adequação | Referência | ## Publicações e Recursos - **Guia de Boas Práticas para LGPD**: Orientações para implementação - **Regulamento de Incidentes de Segurança**: Requisitos de notificação obrigatória - **Relatórios de Fiscalização**: Casos investigados e sanções aplicadas - **Guias Setoriais**: Orientações específicas para saúde, financeiro e governo - **Programa de Agentes de Tratamento de Pequeno Porte**: Facilitação para PMEs e startups ## Referências - [Portal ANPD](https://www.gov.br/anpd) - [LGPD - Lei 13.709/2018 - Texto integral](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) - [Resolução CD/ANPD n.º 2/2022 - Regulamento de Incidentes](https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-incidentes-de-segurança) - [[lgpd|LGPD]] - framework regulatório associado - [[banco-central-brasil|BACEN]] - intersecção no setor financeiro - [[cert-br|CERT.br]] - coordenação técnica de incidentes - [[government|Setor Governo]] - setor com alto volume de dados pessoais - [[healthcare|Setor Saúde]] - dados sensíveis de saúde com regime especial LGPD