Instituto Brasileiro de Museus

I - autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade;

II - categoria de dados pessoais: classificação dos dados pessoais de acordo com o contexto de sua utilização, tais como dados de identificação pessoal, dados de autenticação em sistemas, dados financeiros;

III - comunicação de incidente de segurança: ato do controlador que comunica à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

IV - confidencialidade: propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizados;

V - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VI - dado de autenticação em sistemas: qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, como contas de login, tokens e senhas;

VII - dado financeiro: dado pessoal relacionado às transações financeiras do titular, inclusive para contratação de serviços e aquisição de produtos;

VIII - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

IX - dado pessoal afetado: dado pessoal cuja confidencialidade, integridade, disponibilidade ou autenticidade tenha sido comprometida em um incidente de segurança;

X - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

XI - dado protegido por sigilo legal ou judicial: dado pessoal cujo sigilo decorra de norma jurídica ou decisão judicial;

XII - dado protegido por sigilo profissional: dado pessoal cujo sigilo decorra do exercício de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem;

XIII - disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados;

XIV - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados – ANPD;

XV - incidente de segurança: qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais;

XVI - integridade: propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental;

XVII - medidas de segurança: medidas técnicas ou administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

XVIII - natureza dos dados pessoais: classificação de dados pessoais em gerais ou sensíveis;

XIX - procedimento de apuração de incidente de segurança: procedimento instaurado pela ANPD para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador;

XX - procedimento de comunicação de incidente de segurança: procedimento instaurado no âmbito da ANPD após o recebimento de comunicação de incidente de segurança;

XXI - processo de comunicação de incidente de segurança: processo administrativo instaurado no âmbito da ANPD que abrange o procedimento de apuração incidente de segurança e o procedimento de comunicação de incidente de segurança; e

XXII - relatório de tratamento de incidente: documento fornecido pelo controlador que contém cópias, em meio físico ou digital, de dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos;

XXIII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

XXIV - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Art. 4º A comunicação de incidentes de segurança com dados pessoais à ANPD e ao titular dos dados será obrigatória quando houver risco ou dano relevante aos titulares, conforme critérios definidos nos termos do Regulamento de Comunicação de Incidente de Segurança aprovado pela Resolução CD/ANPD nº 15, de 24 de abril de 2024. 

Art. 5º O incidente de segurança pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:

I - dados pessoais sensíveis;

II - dados de crianças, de adolescentes ou de idosos;

III - dados financeiros;

IV - dados de autenticação em sistemas;

V - dados protegidos por sigilo legal, judicial ou profissional; ou

VI - dados em larga escala.

§ 1º O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

§ 2º Considera-se incidente com dados em larga escala aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.

Art. 6º O Encarregado pelo Tratamento de Dados Pessoais será responsável por:

I - avaliar a gravidade e o impacto do incidente;

II - coordenar a comunicação com a ANPD, quando aplicável;

III - coordenar a comunicação com os titulares, quando necessário; e

IV - registrar o incidente e as providências adotadas.

Art. 7º Fica estabelecido que, uma vez identificado um incidente de segurança com dados pessoais, o responsável técnico deverá, imediatamente, informar ao Encarregado pelo Tratamento de Dados Pessoais do Instituto Brasileiro de Museus.

§ 1º O responsável técnico deverá adotar o modelo apresentado no Anexo  para informar ao Encarregado pelo tratamento de dados pessoais os seguintes elementos:

I - a descrição da natureza e da categoria de dados pessoais afetados;

II - o número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos;

III - as medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;

V - os motivos da demora, no caso de a comunicação não ter sido realizada no prazo previsto no art. 8º e no art. 11 desta instrução normativa;

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares;

VII - a data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador;

VIII – os dados do encarregado ou de quem represente o controlador;

IX - a identificação do controlador e, se for o caso, declaração de que se trata de agente de tratamento de pequeno porte;

X - a identificação do operador, quando aplicável;

XI - a descrição do incidente, incluindo a causa principal, caso seja possível identificá-la; e

XII - o total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente.

§ 2º Cabe ao Encarregado pelo Tratamento de Dados Pessoais realizar diligência com o objetivo de complementar o conjunto de informações relativas aos incidentes, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.

Art. 8º A comunicação à ANPD deverá ser realizada, preferencialmente por meio eletrônico, em até 3 (três) dias úteis após o conhecimento do incidente, contendo, no mínimo, as informações exigidas pelo art. 48 da LGPD e pela Resolução CD/ANPD nº 15, de 24 de abril de 2024.

§ 1º A comunicação deve ser realizada pelo Encarregado pelo Tratamento de Dados Pessoais ou por representante legalmente constituído do controlador, mediante peticionamento eletrônico por meio do Sistema Eletrônico de Informações - SEI, da Agência Nacional de Proteção de Dados, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD.

§ 2º O Ibram poderá adotar medidas complementares de comunicação à ANPD, caso a gravidade do incidente requeira atualizações ou complementações das informações previamente prestadas.

Art. 9º Cabe ao controlador solicitar à ANPD, de maneira fundamentada, o sigilo de informações protegidas por lei, indicando aquelas cujo acesso deverá ser restringido, a exemplo das relativas à sua atividade empresarial cuja divulgação possa representar violação de segredo comercial ou industrial, ou sigilo pessoal ou institucional.

Art. 10. A comunicação de incidente de segurança ao titular de dados pessoais será realizada pelo Encarregado pelo Tratamento de Dados Pessoais do Ibram.

§ 1º A comunicação deverá observar os elementos especificados nos incisos I e II do art. 7º desta instrução normativa na forma no Anexo.

§ 2º O instrumento de comunicação deverá estar acompanhado de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído.

§ 3º Além das informações contidas no § 1º e § 2º, o Encarregado pelo Tratamento de Dados Pessoais do Ibram deverá informar ainda, ao titular, a numeração de protocolo emitida no ato do peticionamento eletrônico de comunicação de incidente à ANPD, quando se aplicar.

Art. 11. A comunicação ao titular de dados deverá ser realizada, preferencialmente por meio eletrônico, em até 3 (três) dias úteis após o conhecimento do incidente, contendo, no mínimo, as informações exigidas pelo art. 48 da Lei nº 13.709, de 2018 e pela Resolução CD/ANPD nº 15, de 24 de abril de 2024.

Art. 12. O tratamento das informações coletadas na forma do Anexo  deverá oferecer medidas de proteção à privacidade dos titulares, observado o disposto sobre as questões de sigilo e compartilhamento de dados previstos pela Lei nº 13.709, de 2018, bem como na https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htmhttps://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.

Art. 13. O modelo de comunicação à ANPD e aos titulares de dados pessoais, de que trata o Anexo, será disponibilizado no Sistema Eletrônico de Informação - SEI do Ibram.

Parágrafo único. A comunicação ao titular dos dados deverá ser anexada a ofício informando se tratar de comunicado de incidente envolvendo dados pessoais.

Art. 14. O descumprimento injustificado das obrigações previstas nesta instrução normativa poderá acarretar responsabilização administrativa, nos termos da legislação vigente.

Art. 15. Esta Instrução Normativa entra em vigor 15 (quinze) dias após a data de sua publicação.

ANEXO

FORMULÁRIO DE COMUNICAÇÃO DE INCIDENTE DE DADOS PESSOAIS

Este formulário tem por finalidade registrar comunicado de incidente envolvendo dados pessoais de acordo com a Instrução Normativa Ibram nº 16, de 18 de dezembro 2025, em observância às determinações estabelecidas na Resolução CD/ANPD nº 15, de 24 de abril de 2024, bem como no art. 48 da Lei 13.709, de 4 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais.

1. NÚMERO DO PROCESSO E SETOR DE IDENTIFICAÇÃO DO INCIDENTE