LEGALIST
Digital

Incidente de dados pessoais: o que sua empresa precisa fazer nas próximas 72 horas

Núcleo de Comunicação | LEGALIST

11 min
Digital — Incidente de dados pessoais: o que sua empresa precisa fazer nas próximas 72 horas

Um vazamento de dados pode acontecer com qualquer empresa — o que diferencia as que saem bem das que são pesadamente multadas é o protocolo de resposta. A LGPD define prazos, obrigações e critérios que precisam ser conhecidos antes do incidente acontecer.

Pontos-chave

  • A LGPD (art. 48) exige comunicação à ANPD e aos titulares afetados em prazo razoável — a regulamentação da ANPD definiu 72 horas para comunicação inicial.
  • Nem todo incidente exige comunicação: apenas os que podem acarretar risco ou dano relevante aos titulares.
  • A comunicação à ANPD deve incluir: natureza dos dados, titulares afetados, medidas adotadas e medidas para mitigação.
  • Empresas sem Plano de Resposta a Incidentes (PRI) documentado enfrentam o pior cenário sem preparo — e a ANPD considera isso no cálculo da multa.
  • A falha em comunicar um incidente relevante pode resultar em multa superior à que resultaria do próprio incidente.
  • Comunicação pública inadequada (muito técnica, excessivamente tranquilizante ou confusa) pode gerar dano moral coletivo adicional.

O que configura um incidente de dados segundo a LGPD

Incidente de segurança é qualquer evento que resulte em acesso não autorizado, perda, alteração, divulgação ou destruição de dados pessoais. Isso inclui: ataque de ransomware com acesso a dados de clientes, e-mail enviado para destinatário errado contendo dados pessoais, notebook da empresa roubado com acesso não criptografado a arquivos, e falha de sistema que expõe dados de usuários para terceiros.

Nem todo incidente precisa ser comunicado. A ANPD exige comunicação apenas quando o incidente pode gerar risco ou dano relevante aos titulares — discriminação, dano financeiro, dano à reputação ou comprometimento de dados sensíveis.

As primeiras 72 horas: o protocolo de resposta

  • H+0: detectar e confirmar o incidente — não agir com base em suspeita sem verificação.
  • H+2: acionar o Encarregado de Dados (DPO) e o time de TI para contenção imediata.
  • H+6: avaliar o escopo — quais dados foram afetados, quantos titulares, qual o risco para eles.
  • H+24: decisão sobre necessidade de comunicação à ANPD e aos titulares.
  • H+72: comunicação inicial à ANPD se o incidente exigir notificação.
  • H+72 em diante: comunicação aos titulares afetados, medidas de mitigação, relatório final.

LEGALIST HUB

Quer ajuda profissional com essa questão na sua empresa?

Quero estruturar o plano de resposta a incidentes da minha empresa

O Plano de Resposta a Incidentes: por que ter antes de precisar

O PRI (Plano de Resposta a Incidentes) é o documento que define, antecipadamente, quem faz o quê em caso de incidente: quem é o responsável pela contenção, quem notifica a ANPD, como se comunica com os titulares afetados, e como se documenta todo o processo para fins de defesa administrativa.

A ANPD considera expressamente a existência e a execução de um PRI ao dosar sanções. Empresas que conseguem demonstrar resposta rápida, organizada e documentada recebem tratamento mais favorável do que as que agiram de forma improvisada — mesmo quando o incidente foi equivalente.

LEGALIST HUB

Quer ajuda profissional com essa questão na sua empresa?

Solicitar uma proposta
Conheça os planos