De Paula Souza Advocacia
Menu

LGPD e Proteção de Dados · 14 min de leitura

Incidente de dados: o que a empresa precisa fazer nas primeiras 72 horas

Publicado em 18/06/2026

Quando um incidente de segurança envolve dados pessoais, as primeiras 72 horas determinam a extensão do dano e a posição jurídica da empresa diante da ANPD (Autoridade Nacional de Proteção de Dados).

A forma como a empresa responde nas primeiras horas — documentando corretamente e notificando dentro do prazo — é o que permite demonstrar boa-fé no processo administrativo que pode se seguir. A Resolução CD/ANPD nº 4/2023 considera a adoção de boas práticas de resposta como circunstância atenuante na dosimetria de sanções.

Este artigo detalha o que fazer nas primeiras 72 horas após a confirmação de um incidente de dados pessoais.


TL;DR


Índice

  1. O incidente que começou na sexta à noite
  2. O que qualifica como incidente com dever de notificação
  3. Contenção: as primeiras ações técnicas e jurídicas
  4. A obrigação de notificar a ANPD: prazo, forma e conteúdo
  5. Comunicação aos titulares: quando é obrigatória e como fazer
  6. O que documentar (e por quê a documentação importa depois)
  7. Perguntas frequentes

1. O incidente que começou na sexta à noite

Uma startup de fintech com cerca de 40.000 usuários ativos recebeu uma mensagem de um pesquisador de segurança na tarde de uma sexta-feira: um bucket S3 estava configurado como público. Os dados expostos incluíam extratos financeiros, CPFs e histórico de transações de aproximadamente 12.000 clientes — e o bucket estava acessível há pelo menos 11 dias.

O time de engenharia corrigiu a configuração em menos de uma hora. Mas a pergunta que veio em seguida não tinha resposta técnica: e agora, o que fazemos?

Quem soube quando? Há obrigação de notificar a ANPD? Em quanto tempo? O que contar aos clientes? O que documentar para não piorar a situação se vier um processo administrativo?

Essas perguntas precisam de resposta rápida — e as respostas erradas nos momentos seguintes têm impacto direto na exposição jurídica da empresa.


2. O que qualifica como incidente com dever de notificação

A Lei 13.709/2018 (LGPD), em seu art. 48, estabelece a obrigação do controlador de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

A Resolução CD/ANPD nº 4/2023 regulamentou os critérios e o procedimento dessa notificação. Ela define incidente de segurança como:

qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequado ou ilícito, que possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

Nem todo problema de segurança gera dever de notificação. A obrigação existe quando o incidente pode causar risco ou dano relevante aos titulares. A Resolução CD/ANPD nº 4/2023 lista fatores a considerar na avaliação:

Fator Exemplos
Natureza dos dados Dados sensíveis (saúde, financeiro, biométrico) têm peso maior
Quantidade de titulares afetados Quanto maior o número, maior o risco
Facilidade de identificação Dados que permitem identificar diretamente a pessoa
Dano potencial Discriminação, fraude financeira, exposição de vulnerabilidade
Perfil dos titulares Crianças, adolescentes, idosos — grupos com proteção reforçada

Se a avaliação interna indicar que o incidente pode causar risco ou dano relevante, a notificação é obrigatória. A dúvida — especialmente em incidentes de escala significativa envolvendo dados financeiros — deve ser resolvida em favor da notificação.

Controlador x operador: se sua empresa é operadora (trata dados por conta de outra empresa), a obrigação de notificar a ANPD é do controlador. O operador deve comunicar o incidente ao controlador imediatamente, para que ele avalie e tome as providências cabíveis. Verifique o DPA (Data Processing Agreement, ou Acordo de Tratamento de Dados) com o controlador — ele geralmente define prazo para essa comunicação interna.


3. Contenção: as primeiras ações técnicas e jurídicas

A contenção é o conjunto de ações imediatas para interromper o acesso não autorizado, preservar evidências e evitar que o incidente se expanda.

Ações técnicas imediatas:

  1. Isolar o sistema ou dado afetado — sem deletar logs. Alterar ou apagar registros de acesso após a descoberta do incidente pode ser interpretado como ocultação e agrava a posição da empresa.
  2. Identificar o vetor de acesso — como o incidente ocorreu? Credencial comprometida, configuração incorreta, vulnerabilidade explorada?
  3. Revogar acessos comprometidos — tokens, chaves de API, credenciais que possam ter sido expostos.
  4. Preservar evidências — logs de acesso, timestamps, capturas de tela do ambiente afetado antes de qualquer alteração.

Ações jurídicas e organizacionais imediatas:

  1. Acionar o DPO (Encarregado de Proteção de Dados) — o art. 41 da LGPD exige que o controlador indique um encarregado. Em startups sem DPO formal designado, acionar o responsável interno pela privacidade ou assessoria jurídica.
  2. Documentar o momento do conhecimento — quem soube, como e quando. Isso é crítico: o prazo de 72 horas começa a correr a partir do conhecimento do controlador, não da data do incidente.
  3. Fazer triagem inicial de risco — quantos titulares foram afetados? Quais dados? Qual o risco potencial para cada titular?
  4. Não comunicar externamente sem coordenação — comunicados espontâneos em redes sociais ou para a imprensa sem alinhamento jurídico podem agravar a exposição e conflitar com a notificação formal à ANPD.

4. A obrigação de notificar a ANPD: prazo, forma e conteúdo

Prazo:

A Resolução CD/ANPD nº 4/2023 estabelece o prazo de 3 dias úteis (não corridos) a partir do momento em que o controlador toma conhecimento do incidente para comunicar à ANPD — desde que a avaliação interna indique que o incidente pode causar risco ou dano relevante.

O prazo de 72 horas frequentemente citado é uma referência coloquial a esse período de 3 dias úteis — e a distinção importa: um incidente descoberto na sexta-feira à tarde pode ter o prazo se estendendo até a quarta-feira seguinte, dependendo de como o cálculo é feito. A posição conservadora é tratar como 72 horas corridas para fins de planejamento.

Notificação preliminar vs. notificação complementar:

A Resolução CD/ANPD nº 4/2023 admite a notificação em dois estágios:

Como notificar:

A notificação é feita pelo formulário eletrônico disponível no portal da ANPD (anpd.gov.br). O sistema aceita a notificação preliminar e permite a complementação posterior.

Conteúdo mínimo da notificação:

  1. Descrição do incidente (o que aconteceu, como, quando foi descoberto)
  2. Dados pessoais afetados (categorias, quantidade estimada de titulares)
  3. Medidas técnicas e organizacionais adotadas para conter o incidente
  4. Riscos potenciais para os titulares
  5. Medidas adotadas ou planejadas para mitigar os riscos
  6. Identificação do DPO ou contato do controlador

Consequências da não notificação:

A LGPD (art. 52) prevê sanções administrativas que incluem advertência, multa de até 2% do faturamento do grupo no Brasil no último exercício (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados pessoais envolvidos. A não notificação de incidente relevante é infração passível de sanção autônoma — independentemente de qualquer dano comprovado.


5. Comunicação aos titulares: quando é obrigatória e como fazer

A comunicação aos titulares afetados é obrigatória quando o incidente pode lhes causar risco ou dano relevante (LGPD, art. 48, §1º). A Resolução CD/ANPD nº 4/2023 define que essa comunicação deve ser feita em prazo razoável e de forma clara e adequada ao titular.

Quando comunicar:

Quando a comunicação pode ser mitigada:

Como fazer a comunicação:

A comunicação aos titulares deve:

  1. Ser direta e clara — sem eufemismos que obscureçam o que aconteceu.
  2. Descrever os dados afetados e o risco associado.
  3. Informar as medidas já adotadas pela empresa para conter o incidente.
  4. Orientar o titular sobre o que ele pode fazer para se proteger.
  5. Fornecer canal de contato para dúvidas.

A comunicação não precisa — e geralmente não deve — conter informações que possam comprometer investigações em andamento ou revelar detalhes técnicos que facilitem novos ataques.

Registro: guarde o registro de cada comunicação enviada, a data de envio e o meio utilizado. Isso é evidência de cumprimento da obrigação em eventual processo administrativo.


6. O que documentar (e por quê a documentação importa depois)

A documentação do incidente é o principal instrumento de defesa da empresa em um processo administrativo da ANPD ou em ação judicial movida por titulares afetados.

O que documentar desde o primeiro momento:

O quê Como
Momento do conhecimento Registro com timestamp (e-mail, ticket, log de sistema) do momento em que alguém na empresa soube do incidente
Triagem inicial Avaliação escrita de quem fez a triagem, com base nos critérios da Resolução CD/ANPD nº 4/2023
Ações de contenção Registro de cada ação técnica: o que foi feito, por quem, quando
Evidências preservadas Inventário dos logs e registros preservados
Comunicações internas E-mails, mensagens de Slack/Teams entre os envolvidos no gerenciamento do incidente
Decisões tomadas e justificativas Registro de cada decisão relevante (notificar ou não, comunicar ou não, por quê)
Notificações enviadas Cópias das notificações à ANPD e às comunicações aos titulares, com datas
Investigação forense Relatório técnico sobre o vetor de ataque, extensão do acesso e dados afetados

Por que a documentação importa:

Em um processo sancionatório, a ANPD avalia não apenas o incidente em si, mas a resposta da empresa a ele. A Resolução CD/ANPD nº 4/2023 considera como circunstância atenuante a adoção de boas práticas de governança, a colaboração com a ANPD e a adoção imediata de medidas de mitigação. Documentação consistente é a evidência dessa resposta.

Empresas que não documentam adequadamente não conseguem demonstrar o que fizeram — mesmo que tenham agido corretamente.

Retenção: mantenha a documentação do incidente pelo prazo compatível com o prazo prescricional de ações relacionadas. A pretensão por danos morais, por exemplo, tem prazo prescricional de 3 anos (Código Civil, art. 206, §3º, V).


7. Perguntas frequentes

O prazo de 72 horas começa quando o incidente ocorreu ou quando descobrimos?

O prazo começa quando o controlador toma conhecimento do incidente — não quando ele ocorreu. A Resolução CD/ANPD nº 4/2023 é clara nesse ponto: o prazo de 3 dias úteis conta a partir do momento em que a empresa (o controlador) tem ciência de que houve um incidente que pode causar risco ou dano relevante aos titulares. Isso significa que um incidente que durou 11 dias antes de ser descoberto não tem o prazo contado desde o dia 1 da exposição — mas desde o dia em que alguém na empresa soube. Daí a importância de documentar, com precisão, o momento exato em que o conhecimento chegou à empresa. Internamente, é preciso definir também o que conta como “ciência do controlador”: o ticket do time de segurança? O e-mail para o DPO? O alerta automático do sistema de monitoramento? Essa definição deve constar do plano de resposta a incidentes da empresa, antes de qualquer incidente acontecer.

Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.

Somos operadores, não controladores. Temos obrigação de notificar a ANPD?

A obrigação de notificar a ANPD é do controlador — a empresa que define a finalidade e os meios do tratamento dos dados. O operador (que trata dados por conta do controlador) não notifica a ANPD diretamente, mas tem obrigação de comunicar o incidente ao controlador de forma imediata, para que este possa cumprir o seu prazo de notificação. O prazo e a forma dessa comunicação interna (operador → controlador) devem estar definidos no contrato de tratamento de dados ou no DPA entre as partes. Na ausência de prazo contratual, a comunicação deve ser feita o quanto antes — qualquer atraso que prejudique o cumprimento do prazo pelo controlador pode gerar responsabilidade contratual do operador. Empresas de SaaS, processadores de pagamento e prestadores de serviços de cloud que tratam dados de seus clientes (os controladores) estão geralmente na posição de operadores e precisam ter fluxos de comunicação de incidente claros com cada controlador atendido.

Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.

Qual o risco de não notificar a ANPD em um incidente relevante?

A não notificação de incidente relevante é infração autônoma à LGPD (Lei 13.709/2018), independentemente de qualquer dano aos titulares. As sanções previstas no art. 52 da LGPD incluem advertência (com prazo para adotar medidas corretivas), multa de até 2% do faturamento do grupo no Brasil no último exercício fiscal — limitada a R$ 50 milhões por infração —, bloqueio ou eliminação dos dados pessoais objeto da infração, e publicização da infração após apuração e confirmação. Além das sanções administrativas da ANPD, a empresa pode responder civilmente perante os titulares afetados por danos morais ou materiais decorrentes do incidente. A ausência de notificação pode ser considerada pelo juízo como elemento de má-fé na resposta ao incidente. O risco de não notificar, portanto, é maior do que o de notificar com informações preliminares e complementar depois — que é exatamente o que a Resolução CD/ANPD nº 4/2023 permite.

Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.


Disclaimer e próximos passos

As informações deste artigo são de caráter geral e educativo. Não constituem assessoria jurídica para nenhuma situação específica e não substituem a análise de um advogado sobre o seu caso concreto. A regulamentação da ANPD está em desenvolvimento — verifique sempre a vigência e eventuais atualizações da Resolução CD/ANPD nº 4/2023 e das orientações da autoridade à data de aplicação.

Se sua empresa passou por um incidente de dados e precisa avaliar as obrigações de notificação, ou se quer estruturar um plano de resposta a incidentes antes que um evento aconteça, o ponto de partida é uma conversa com um advogado e o DPO responsável.

Falar com um advogado


Alessandra De Paula Souza — OAB/PR 31.133
Atuação concentrada em LGPD, proteção de dados e assessoria jurídica para startups e PMEs.

Está nessa situação?

Um advogado especialista pode analisar o seu caso com agilidade.

Agendar consulta

Está nessa situação?

Fale com um advogado especialista.

Agendar consulta

Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.

Pronto para proteger seu negócio?

Agende uma consulta inicial e descubra como podemos contribuir para o crescimento seguro da sua empresa. Sigilo profissional garantido.

  • Diagnóstico jurídico da situação da sua empresa
  • Identificação de riscos e oportunidades
  • Proposta de estratégia jurídica personalizada
  • Esclarecimento de dúvidas sem compromisso
  • Sigilo profissional assegurado pelo Estatuto da OAB