O que configura um incidente de dados segundo a LGPD
Incidente de segurança é qualquer evento que resulte em acesso não autorizado, perda, alteração, divulgação ou destruição de dados pessoais. Isso inclui: ataque de ransomware com acesso a dados de clientes, e-mail enviado para destinatário errado contendo dados pessoais, notebook da empresa roubado com acesso não criptografado a arquivos, e falha de sistema que expõe dados de usuários para terceiros.
Nem todo incidente precisa ser comunicado. A ANPD exige comunicação apenas quando o incidente pode gerar risco ou dano relevante aos titulares — discriminação, dano financeiro, dano à reputação ou comprometimento de dados sensíveis.
As primeiras 72 horas: o protocolo de resposta
- H+0: detectar e confirmar o incidente — não agir com base em suspeita sem verificação.
- H+2: acionar o Encarregado de Dados (DPO) e o time de TI para contenção imediata.
- H+6: avaliar o escopo — quais dados foram afetados, quantos titulares, qual o risco para eles.
- H+24: decisão sobre necessidade de comunicação à ANPD e aos titulares.
- H+72: comunicação inicial à ANPD se o incidente exigir notificação.
- H+72 em diante: comunicação aos titulares afetados, medidas de mitigação, relatório final.
LEGALIST HUB
Quer ajuda profissional com essa questão na sua empresa?
Quero estruturar o plano de resposta a incidentes da minha empresaO Plano de Resposta a Incidentes: por que ter antes de precisar
O PRI (Plano de Resposta a Incidentes) é o documento que define, antecipadamente, quem faz o quê em caso de incidente: quem é o responsável pela contenção, quem notifica a ANPD, como se comunica com os titulares afetados, e como se documenta todo o processo para fins de defesa administrativa.
A ANPD considera expressamente a existência e a execução de um PRI ao dosar sanções. Empresas que conseguem demonstrar resposta rápida, organizada e documentada recebem tratamento mais favorável do que as que agiram de forma improvisada — mesmo quando o incidente foi equivalente.

