Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 26/04/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024042600115
115
Nº 81, sexta-feira, 26 de abril de 2024
ISSN 1677-7042
Seção 1
Art. 7º Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o
sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser
restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa
representar violação de segredo comercial ou industrial.
Art. 8º A ANPD poderá, a qualquer tempo, solicitar informações adicionais ao
controlador, referentes ao incidente de segurança, inclusive o registro das operações de
tratamento dos dados pessoais afetados pelo incidente, o relatório de impacto à proteção
de dados pessoais (RIPD) e o relatório de tratamento do incidente, estabelecendo prazo
para o envio das informações.
Seção III
Da Comunicação de Incidente de Segurança ao Titular
Art. 9º A comunicação de incidente de segurança ao titular deverá ser realizada
pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador
de que o incidente afetou dados pessoais, e deverá conter as seguintes informações:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - as medidas técnicas e de segurança utilizadas para a proteção dos dados,
observados os segredos comercial e industrial;
III - os riscos relacionados ao incidente com identificação dos possíveis
impactos aos titulares;
IV - os motivos da demora, no caso de a comunicação não ter sido feita no
prazo do caput deste artigo;
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do incidente, quando cabíveis;
VI - a data do conhecimento do incidente de segurança; e
VII - o contato para obtenção de informações e, quando aplicável, os dados de
contato do encarregado.
§ 1º A comunicação do incidente aos titulares de dados deverá atender aos
seguintes critérios:
I - fazer uso de linguagem simples e de fácil entendimento; e
II - ocorrer de forma direta e individualizada, caso seja possível identificá-los.
§ 2º Considera-se comunicação de forma direta e individualizada aquela
realizada pelos meios usualmente utilizados pelo controlador para contatar o titular, tais
como telefone, e-mail, mensagem eletrônica ou carta.
§ 3º Caso a comunicação direta e individualizada mostre-se inviável ou não seja
possível identificar, parcial ou integralmente, os titulares afetados, o controlador deverá
comunicar a ocorrência do incidente, no prazo e com as informações definidas no caput,
pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas
mídias sociais e canais de atendimento ao titular, de modo que a comunicação permita o
conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três
meses.
§ 4º O controlador deverá juntar ao processo de comunicação de incidente
uma declaração de que foi realizada a comunicação aos titulares, constando os meios de
comunicação ou divulgação utilizados, em até três dias úteis, contados do término do
prazo de que trata o caput deste artigo.
§ 5º Poderá ser considerada boa prática, para fins do disposto no art. 52, § 1º,
IX, da LGPD, a inclusão, na comunicação ao titular, de recomendações aptas a reverter ou
mitigar os efeitos do incidente.
§ 6º O prazo constante no caput deste artigo é contado em dobro para os
agentes de pequeno porte, nos termos do disposto no Regulamento de aplicação da Lei
nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD) aos
agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27
de janeiro de 2022.
CAPÍTULO IV
DO REGISTRO DO INCIDENTE DE SEGURANÇA
Art. 10. O controlador deverá manter o registro do incidente de segurança,
inclusive daquele não comunicado à ANPD e aos titulares, pelo prazo mínimo de cinco
anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais
que demandem maior prazo de manutenção.
§ 1º O registro do incidente deverá conter, no mínimo:
I - a data de conhecimento do incidente;
II - a descrição geral das circunstâncias em que o incidente ocorreu;
III - a natureza e a categoria de dados afetados;
IV - o número de titulares afetados;
V - a avaliação do risco e os possíveis danos aos titulares;
VI - as medidas de correção e mitigação dos efeitos do incidente, quando
aplicável;
VII - a forma e o conteúdo da comunicação, se o incidente tiver sido
comunicado à ANPD e aos titulares; e
VIII - os motivos da ausência de comunicação, quando for o caso.
§ 2º Os prazos de guarda previstos neste artigo não se aplicam às entidades
previstas no art. 23 da LGPD, desde que sejam observadas as regras aplicáveis aos
documentos de guarda permanente previstas na tabela de temporalidade própria ou
definidas pelo Conselho Nacional de Arquivos.
CAPÍTULO V
DO PROCESSO DE COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA
Seção I
Das Disposições Gerais
Art. 11. O processo de comunicação de incidente de segurança tem por objeto a
fiscalização de atos relacionados ao tratamento e resposta ao incidente que possa acarretar
risco ou dano relevante aos titulares de dados, a fim de salvaguardar os direitos dos titulares.
Parágrafo único. Aplicam-se ao processo de comunicação de incidente de
segurança regido por este Regulamento, no que couber, as disposições do Regulamento
do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela
Resolução CD/ANPD nº 01, de 28 de outubro de 2021.
Art. 12. A ANPD poderá, a qualquer momento, realizar auditorias ou inspeções
junto aos agentes de tratamento, ou determinar a sua realização, para coletar informações
complementares ou validar as informações recebidas, com o objetivo de subsidiar as
decisões no âmbito do processo de comunicação de incidente de segurança.
Art. 13. O processo de comunicação de incidente de segurança inicia-se:
I - de ofício, no caso de procedimento de apuração de incidente de segurança; ou
II - com o recebimento da comunicação, devidamente formalizada, na forma do
art. 6º, §5º, no caso de procedimento de comunicação de incidente de segurança.
Art. 14. Os processos de comunicação de incidente de segurança poderão ser
analisados de forma agregada, e as eventuais providências deles decorrentes poderão ser
adotadas de forma padronizada, em conformidade com o planejamento da atividade de
fiscalização e os critérios de priorização definidos no Relatório de Ciclo de Monitoramento
de que trata o art. 20 do Regulamento do Processo de Fiscalização e do Processo
Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados,
aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021.
Art. 15. No curso do processo de comunicação de incidente de segurança, a
ANPD poderá determinar ao controlador, com ou sem a sua prévia manifestação, a adoção
imediata de medidas preventivas necessárias para salvaguardar direitos dos titulares, a fim
de prevenir, mitigar ou reverter os efeitos do incidente e evitar a ocorrência de dano
grave e irreparável ou de difícil reparação.
Parágrafo único.
A ANPD poderá fixar
multa diária para
assegurar o
cumprimento da determinação prevista no caput, na forma do Regulamento de Dosimetria
e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD nº 4, de 24 de
fevereiro de 2023.
Seção II
Do Procedimento de Apuração de Incidente de Segurança
Art. 16. A ANPD poderá apurar, por meio do procedimento de apuração de
incidente de segurança, a ocorrência de incidentes que possam acarretar risco ou dano
relevante aos titulares, não comunicados pelo controlador, de que venha a tomar
conhecimento.
§ 1º A ANPD poderá requisitar ao controlador informações para apurar a
ocorrência do incidente de segurança.
§ 2º A ANPD avaliará a ocorrência do incidente por meio dos critérios
dispostos no art. 5º deste Regulamento.
Art. 17. Constatada a ocorrência de incidente de segurança, a ANPD
determinará ao controlador o envio da comunicação à Autoridade e aos titulares,
observados os prazos e condições descritos nos arts. 6º e 9º deste Regulamento,
respectivamente.
§ 1º A ANPD poderá, ainda, instaurar processo administrativo sancionador para
apurar o descumprimento do previsto nos arts. 6º e 9º deste Regulamento.
§ 2º Realizada a comunicação de incidente de segurança, na forma do caput,
aplicar-se-á o procedimento de comunicação de incidente de segurança estabelecido na
Seção III.
Seção III
Do Procedimento de Comunicação de Incidente de Segurança
Art. 18. O procedimento de comunicação de incidente de segurança será
iniciado com o recebimento da comunicação do incidente pela ANPD, devidamente
formalizada, na forma do art. 6º., §5º.
Parágrafo único. A comunicação do incidente será recebida, exclusivamente, por
meio de canal específico, conforme orientação publicada no sítio eletrônico da ANPD.
Art. 19. Após avaliar a gravidade do incidente de segurança, a ANPD poderá
determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos
titulares, tais como:
I - ampla divulgação do incidente em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 1º A gravidade do incidente será avaliada com base nas informações obtidas
e nos critérios de que trata o art. 5º deste Regulamento.
§ 2º As providências citadas no caput devem estar diretamente relacionadas ao
incidente.
§ 3º A ANPD poderá determinar ampla divulgação do incidente em meios de
comunicação, às expensas do controlador, para a salvaguarda dos direitos dos titulares,
nos termos do art. 48, § 2º, I, da LGPD, quando a comunicação realizada pelo controlador
mostrar-se insuficiente para alcançar parcela significativa dos titulares afetados pelo
incidente.
§ 4º A ampla divulgação do incidente em meios de comunicação deverá ser
compatível com a abrangência de atuação do controlador e a localização dos titulares dos
dados pessoais afetados no incidente.
§ 5º A ampla divulgação do incidente poderá ser viabilizada em meio físico ou
digital, considerada sempre a necessidade de se atingir o maior número possível de
titulares afetados, admitidos os seguintes meios de veiculação:
I - mídia escrita impressa;
II - radiodifusão de sons e de sons e imagens; ou
III - transmissão de informações pela Internet.
§ 6º A ampla divulgação do incidente não se confunde com a sanção de
publicização da infração de que trata no art. 52, IV, da LGPD.
§ 7º Na determinação das medidas para reverter ou mitigar os efeitos do
incidente, serão consideradas aquelas que possam garantir a confidencialidade, a
integridade, a disponibilidade e a autenticidade dos dados pessoais afetados, bem como
minimizar os efeitos decorrentes do incidente para os titulares.
Art. 20. Como medida de transparência ativa, a ANPD poderá divulgar, em seu
sítio eletrônico,
informações estatísticas agregadas
relativas aos
incidentes de
segurança.
Art. 21. A ANPD poderá instaurar processo administrativo sancionador caso o
controlador não adote as medidas para reverter ou mitigar os efeitos do incidente de
segurança no prazo e nas condições determinadas pela Autoridade.
Art. 22. As providências descritas no art. 19 deste Regulamento não constituem
sanções ao agente regulado, sendo equiparadas às medidas decorrentes da atividade
preventiva, nos termos do Regulamento do Processo de Fiscalização e do Processo
Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados,
aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021.
Seção IV
Da Extinção do Processo de Comunicação de Incidente de Segurança
Art. 23. O processo de comunicação de incidente de segurança será declarado
extinto nas seguintes hipóteses:
I - caso não sejam identificadas evidências suficientes da ocorrência do
incidente, ressalvada a possibilidade de reabertura caso surjam fatos novos;
II - caso a ANPD considere que o incidente não possui potencial para acarretar
risco ou dano relevante aos titulares, nos termos do art. 5º deste Regulamento;
III - caso o incidente não envolva dados pessoais;
IV - caso tenham sido tomadas todas as medidas adicionais para mitigação ou
reversão dos efeitos gerados; ou
V - realização da comunicação aos titulares e adoção das providências
pertinentes pelo controlador, em conformidade com a LGPD, as disposições deste
Regulamento e as determinações da ANPD.
Parágrafo único. Na hipótese do inciso II do caput, mesmo com a declaração da
extinção do processo de comunicação de incidente de segurança, a ANPD poderá
determinar a adoção de medidas de segurança diretamente relacionadas ao incidente,
com o intuito de salvaguardar os direitos dos titulares.
CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS
Art. 24. As disposições constantes deste Regulamento aplicam-se aos processos
de comunicação de incidentes de segurança em curso quando da sua entrada em vigor,
respeitados os atos processuais praticados e consolidados.
CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA
SUPERINTENDÊNCIA-GERAL
DESPACHO SG Nº 5, DE 25 DE ABRIL DE 2024
ENCERRAMENTO PROCESSO ADMINISTRATIVO (ARQUIVAMENTO)
Processo Administrativo nº 08700.004404/2016-62 (Apartado de Acesso Restrito ao CADE
e aos Representados nº 08700.003382/2018-85).
Representante: Ministério Público do Estado do Rio Grande do Sul (MPE/RS).
Representados: Agro Industrial Nova Bréscia Ltda.; ASM Comércio de Subprodutos de
Origem Animal Ltda. - EPP; ASM Comércio e Coleta de Ossos Ltda. - ME; Farol Indústria
e Comércio S/A; Fasa América Latina Participações Societárias S.A.; Faros Indústria de
Farinha de Ossos Ltda.; Faros Transportes e Comércio Ltda.; Frigorífico Cason Ltda.; Fuga
Couros S.A.; Sebo Mariense Ltda.; Sefar - Indústria e Comércio de Farinha e Sebo Ltda.;
Ademir Benetti; Cristiano Theisen; Edson Argenton; Evandro Dalchiavon; Gelson Fernando
Titton; Gemiro Cason; Iedo Claudino Fuga; João Luiz Petter; Luis Eduardo Fuga; Mauro
Pedro Wagner; e Silvia Danubia Martini Flores Souza.
Advogados: Luís Renato Diel, Marlon Thurman Gonçalves, Eduardo Caminati Anders,
Marcio de Carvalho Silveira Bueno, Luiz Fernando Santos Lippi Coimbra, Vicente Bagnoli,
Douglas Telpis Ferrante, Alexandre Augusto Reis Bastos, Rachel Pinheiro de Andrade
Mendonça, Renato Donadio Munhoz, Franklin Rodrigues da Costa, Marcelo Ramos
Peregrino Ferreira, Rafael Barreto Bornhausen, Lauro Cavallazzi Zimmer e outros.
Acolho a Nota Técnica nº NOTA TÉCNICA Nº 55/2024/CGAA6/SGA2/SG/CADE
(SEI nº 1377996), e, com fulcro no §1º do art. 50, da Lei nº 9.784/99, integro as suas
razões à presente decisão, inclusive como sua motivação. Pelos fundamentos apontados
na Nota Técnica, nos termos do art. 74 da Lei nº 12.529/2011 e art. 156, §1º, do
Regimento Interno do Cade, decido: pelo i) arquivamento do presente Processo
Administrativo em relação aos compromissários Fasa América Latina Participações
Societárias S.A ("Fasa"), Faros Indústria de Farinha de Ossos Ltda ("Faros Farinha de
Ossos"), Faros Transportes e Comércio Ltda ("Faros Transportes"), Celgon Agroindustrial
Ltda ("Celgon"), Cristiano Theisen, João Luiz Petter, Mauro Pedro Wagner, Robinson
Henrique Huyer, Tiago Rodrigues, Valdir José Federhen, Sebo Mariense Ltda, Fuga Couros
S/A, Iedo Claudino Fuga, Luis Eduardo Fuga, Evandro Dalchiavon, Agroindustrial Nova

Fechar