A LGPD parte de uma premissa realista: incidentes de segurança acontecem, mesmo em empresas cuidadosas. O que a lei cobra é preparo e transparência. Quando um vazamento pode causar risco ou dano relevante às pessoas, a empresa tem o dever de comunicar a ANPD e os titulares afetados.
Este guia explica o que conta como incidente comunicável, o prazo definido pela ANPD, o que precisa constar na comunicação e, principalmente, como se preparar antes, quando ainda dá tempo de reduzir o estrago.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
O que é um incidente de segurança
Incidente de segurança é qualquer evento que afete a confidencialidade, a integridade ou a disponibilidade de dados pessoais. Um vazamento é o exemplo mais lembrado, mas também entram um ransomware que cifra a base de dados, um acesso indevido, o envio de informações para a pessoa errada e a perda de um dispositivo com dados.
Quando é preciso comunicar
A LGPD não obriga a comunicar todo incidente. O dever surge quando o incidente pode acarretar risco ou dano relevante aos titulares. Para avaliar isso, considera-se a natureza dos dados, a quantidade de pessoas afetadas, a presença de dados sensíveis ou de crianças e a probabilidade concreta de dano.
Um detalhe que ajuda: se os dados afetados estavam cifrados ou anonimizados, a ponto de ficarem ininteligíveis, o risco avaliado é menor. É mais um motivo para tratar criptografia como prioridade, e não como item opcional.
O prazo: 3 dias úteis
A lei falava em prazo razoável e deixava a definição para a ANPD. A Resolução CD/ANPD nº 15, de 2024, fechou essa lacuna: a comunicação à ANPD e aos titulares deve ser feita em até três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais. Agentes de tratamento de pequeno porte têm esse prazo em dobro.
Vale corrigir um mito que circula: não são 72 horas corridas, como no modelo europeu. São três dias úteis, um critério diferente. E a empresa ainda pode complementar as informações depois, em prazo adicional, à medida que apura os fatos.
O que informar na comunicação
- A natureza dos dados pessoais afetados.
- Os titulares envolvidos, ao menos em número e perfil.
- As medidas de segurança que estavam em uso na proteção dos dados.
- Os riscos relacionados ao incidente.
- As medidas que foram ou serão adotadas para reverter ou reduzir os efeitos.
- Os motivos da demora, caso a comunicação não seja imediata.
Como se preparar antes do incidente
A hora de pensar em resposta a incidente não é durante o incidente. Empresas preparadas têm um plano com papéis definidos, sabem quem aciona quem, mantêm registro de eventos que permite reconstruir o ocorrido e conseguem dizer, com rapidez, quais dados foram afetados. Sem isso, o prazo de três dias úteis vira uma corrida impossível.
A preparação técnica faz toda a diferença: monitoramento que detecta o problema cedo, backups que permitem recuperar dados, segmentação que limita o alcance do incidente e logs que respondem à pergunta que a ANPD sempre faz. O guia sobre plano de resposta a incidentes de rede detalha esse preparo.
O erro de esconder o incidente
A tentação de varrer o problema para debaixo do tapete costuma sair cara. Esconder um incidente que deveria ser comunicado agrava a situação diante da ANPD e destrói a confiança dos clientes quando o caso vem à tona, e ele costuma vir. Transparência não é só obrigação legal aqui, é também a estratégia menos danosa.
Ensinar a equipe a reagir
No primeiro momento de um incidente, quem está na linha de frente é a equipe, não o encarregado. O curso de LGPD Essencial do ValorFinal tem uma aula sobre o que é um incidente e o que fazer na hora, além de outra sobre cuidados ao compartilhar dados com fornecedores. É gratuito e ajuda a transformar pânico em procedimento.