Vazamento de dado vai acontecer um dia. Pode ser ataque, pode ser engenharia social, pode ser funcionario desatento. O que diferencia empresa preparada da despreparada e ter um plano de resposta. A LGPD obriga comunicacao a ANPD em prazo razoavel (entendido como ate 48h em pratica) — sem plano, voce nao consegue cumprir.
5.246
incidentes notificados a ANPD em 2024 — alta de 38% sobre 2023.
Fonte: ANPD · Relatorio anual 2024
2 dias
prazo razoavel para notificar ANPD apos detectar incidente (LGPD art. 48).
Quando e incidente reportavel
A LGPD usa criterio de risco ou dano relevante. Em pratica, notificar a ANPD quando: (1) dado pessoal foi acessado sem autorizacao, (2) ha risco para o titular (financeiro, reputacional, fisico), (3) volume e relevante. Em duvida, notifique — pior cenario e ser pego sem notificar.
Plano de resposta em 6 passos
Passo 1: Conter (primeira 1h)
- Isolar sistema/conta afetada.
- Trocar senhas relevantes.
- Revogar tokens/acessos comprometidos.
- Acionar suporte tecnico (TI proprio, plataforma, fornecedor).
Passo 2: Documentar (primeira 6h)
- O que vazou (tipos de dado: nome, CPF, email, telefone, dado sensivel).
- Quando aconteceu — data e hora estimadas.
- Como descobriu — relato detalhado.
- Quantos titulares afetados — estimativa minima.
- Quem acessou ou poderia ter acessado.
- Salvar logs e evidencias antes que sejam sobrescritas.
Passo 3: Avaliar risco (primeira 12h)
Nivel de risco define obrigacao de notificar. Alto risco: dado sensivel (saude, biometria), dado financeiro (cartao, conta), dado de menor. Baixo risco: nome+email isolados. Quando duvida, considere alto.
Passo 4: Notificar ANPD (em 48h)
Notificacao via formulario oficial em gov.br/anpd. Informacoes minimas: descricao do incidente, dados afetados, numero estimado de titulares, medidas tecnicas tomadas, riscos para titular, contato do DPO/responsavel.
Passo 5: Comunicar titulares (quando ha risco)
Se risco for alto e concreto, comunicar titulares afetados em prazo razoavel (LGPD art. 48). Comunicacao deve ser clara, individualizada e por canal apropriado (email cadastrado, WhatsApp, SMS). Modelo de mensagem na proxima secao.
Passo 6: Aprender e prevenir (apos 30 dias)
- Postmortem: o que falhou, por que aconteceu.
- Atualizar politica de seguranca com aprendizados.
- Treinar equipe sobre o cenario que falhou.
- Documentar tudo no RIPD (Registro de Operacoes).
- Considerar auditoria externa se incidente foi grande.
O controlador deve comunicar a autoridade nacional e ao titular a ocorrencia de incidente de seguranca que possa acarretar risco ou dano relevante.
— Lei 13.709/2018 — art. 48
Modelo de comunicacao ao titular
Adapte: "{nome}, identificamos em {data} um incidente de seguranca que pode ter exposto seus dados pessoais ({tipos de dado}). Estamos investigando e ja tomamos as seguintes medidas: {medidas}. Recomendamos: {recomendacoes ao titular — trocar senha, monitorar conta etc.}. Notificamos a ANPD em {data}. Para duvidas, contato: {email DPO}."
O que NAO fazer
- Tentar esconder — descoberto depois e infracao agravada.
- Comunicar publicamente antes da ANPD — comunicado oficial primeiro.
- Apagar logs — destruir evidencia agrava sancao.
- Culpar o cliente ou minimizar o incidente publicamente.
- Demorar mais de 48h sem registro de justificativa.
Empresa que demonstra boa-fe e diligencia geralmente recebe sancao menor — desde advertencia ate multa reduzida. Esconder ou negligenciar agrava.
Perguntas frequentes
Sim. Qualquer representante legal da empresa pode notificar. PME pode usar o responsavel pelo tratamento (geralmente o proprio dono ou o socio administrador).
