Pular para o conteúdo
Privacidade e LGPD

Incidente de segurança e vazamento de dados na LGPD: como agir e notificar a ANPD

Por equipe técnica da OpenSourceBrasil9 min de leituraAtualizado em

A LGPD parte de uma premissa realista: incidentes de segurança acontecem, mesmo em empresas cuidadosas. O que a lei cobra é preparo e transparência. Quando um vazamento pode causar risco ou dano relevante às pessoas, a empresa tem o dever de comunicar a ANPD e os titulares afetados.

Este guia explica o que conta como incidente comunicável, o prazo definido pela ANPD, o que precisa constar na comunicação e, principalmente, como se preparar antes, quando ainda dá tempo de reduzir o estrago.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

O que é um incidente de segurança

Incidente de segurança é qualquer evento que afete a confidencialidade, a integridade ou a disponibilidade de dados pessoais. Um vazamento é o exemplo mais lembrado, mas também entram um ransomware que cifra a base de dados, um acesso indevido, o envio de informações para a pessoa errada e a perda de um dispositivo com dados.

Quando é preciso comunicar

A LGPD não obriga a comunicar todo incidente. O dever surge quando o incidente pode acarretar risco ou dano relevante aos titulares. Para avaliar isso, considera-se a natureza dos dados, a quantidade de pessoas afetadas, a presença de dados sensíveis ou de crianças e a probabilidade concreta de dano.

Um detalhe que ajuda: se os dados afetados estavam cifrados ou anonimizados, a ponto de ficarem ininteligíveis, o risco avaliado é menor. É mais um motivo para tratar criptografia como prioridade, e não como item opcional.

O prazo: 3 dias úteis

A lei falava em prazo razoável e deixava a definição para a ANPD. A Resolução CD/ANPD nº 15, de 2024, fechou essa lacuna: a comunicação à ANPD e aos titulares deve ser feita em até três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais. Agentes de tratamento de pequeno porte têm esse prazo em dobro.

Vale corrigir um mito que circula: não são 72 horas corridas, como no modelo europeu. São três dias úteis, um critério diferente. E a empresa ainda pode complementar as informações depois, em prazo adicional, à medida que apura os fatos.

O que informar na comunicação

  • A natureza dos dados pessoais afetados.
  • Os titulares envolvidos, ao menos em número e perfil.
  • As medidas de segurança que estavam em uso na proteção dos dados.
  • Os riscos relacionados ao incidente.
  • As medidas que foram ou serão adotadas para reverter ou reduzir os efeitos.
  • Os motivos da demora, caso a comunicação não seja imediata.

Como se preparar antes do incidente

A hora de pensar em resposta a incidente não é durante o incidente. Empresas preparadas têm um plano com papéis definidos, sabem quem aciona quem, mantêm registro de eventos que permite reconstruir o ocorrido e conseguem dizer, com rapidez, quais dados foram afetados. Sem isso, o prazo de três dias úteis vira uma corrida impossível.

A preparação técnica faz toda a diferença: monitoramento que detecta o problema cedo, backups que permitem recuperar dados, segmentação que limita o alcance do incidente e logs que respondem à pergunta que a ANPD sempre faz. O guia sobre plano de resposta a incidentes de rede detalha esse preparo.

O erro de esconder o incidente

A tentação de varrer o problema para debaixo do tapete costuma sair cara. Esconder um incidente que deveria ser comunicado agrava a situação diante da ANPD e destrói a confiança dos clientes quando o caso vem à tona, e ele costuma vir. Transparência não é só obrigação legal aqui, é também a estratégia menos danosa.

Ensinar a equipe a reagir

No primeiro momento de um incidente, quem está na linha de frente é a equipe, não o encarregado. O curso de LGPD Essencial do ValorFinal tem uma aula sobre o que é um incidente e o que fazer na hora, além de outra sobre cuidados ao compartilhar dados com fornecedores. É gratuito e ajuda a transformar pânico em procedimento.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

LGPD e segurança da informação

A LGPD exige medidas de segurança técnicas e administrativas. Veja como o artigo 46 vira controles concretos: acesso, criptografia, segmentação, backup e resposta a incidentes.

Ler guia

Dúvidas comuns

Perguntas frequentes

Todo vazamento de dados precisa ser comunicado à ANPD?

Não. A comunicação é obrigatória quando o incidente pode causar risco ou dano relevante aos titulares. A avaliação considera a natureza dos dados, a quantidade de pessoas afetadas, a presença de dados sensíveis e a probabilidade concreta de dano.

Qual o prazo para comunicar um incidente na LGPD?

Segundo a Resolução CD/ANPD nº 15/2024, a comunicação à ANPD e aos titulares deve ser feita em até três dias úteis a partir do conhecimento de que o incidente afetou dados pessoais. Agentes de pequeno porte têm o prazo em dobro. Não são 72 horas corridas.

O que deve constar na comunicação de um incidente?

A natureza dos dados afetados, os titulares envolvidos, as medidas de segurança que estavam em uso, os riscos do incidente, as medidas adotadas para reduzir os efeitos e, se houver demora, os motivos dela. As informações podem ser complementadas depois.

Dados criptografados mudam a obrigação de comunicar?

Podem reduzir a gravidade avaliada. A LGPD trata como atenuante o fato de os dados afetados estarem ininteligíveis, ou seja, cifrados ou anonimizados. Isso reforça a importância de manter criptografia como controle padrão.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.