Quando um incidente de segurança envolve dados pessoais, as primeiras 72 horas determinam a extensão do dano e a posição jurídica da empresa diante da ANPD (Autoridade Nacional de Proteção de Dados).
A forma como a empresa responde nas primeiras horas — documentando corretamente e notificando dentro do prazo — é o que permite demonstrar boa-fé no processo administrativo que pode se seguir. A Resolução CD/ANPD nº 4/2023 considera a adoção de boas práticas de resposta como circunstância atenuante na dosimetria de sanções.
Este artigo detalha o que fazer nas primeiras 72 horas após a confirmação de um incidente de dados pessoais.
TL;DR
- Incidente com dever de notificação é aquele que pode causar risco ou dano relevante aos titulares — a Resolução CD/ANPD nº 4/2023 define os critérios.
- O prazo de 72 horas começa a correr a partir do momento em que o controlador tem conhecimento do incidente — não da data em que ele ocorreu.
- A notificação à ANPD é feita pelo formulário eletrônico no site da autoridade; pode ser preliminar (com os dados disponíveis no momento) e complementada depois.
- A comunicação aos titulares é obrigatória quando há risco ou dano relevante a eles — a forma e o prazo seguem o que for “razoável” conforme a ANPD.
- Documentar tudo desde o primeiro momento: quem soube, quando soube, o que foi feito e por quem. Essa documentação é o principal meio de prova no processo administrativo.
- O que não fazer: aguardar para ver se o problema “some”, alterar ou deletar logs, fazer comunicados públicos não coordenados com jurídico e DPO.
Índice
- O incidente que começou na sexta à noite
- O que qualifica como incidente com dever de notificação
- Contenção: as primeiras ações técnicas e jurídicas
- A obrigação de notificar a ANPD: prazo, forma e conteúdo
- Comunicação aos titulares: quando é obrigatória e como fazer
- O que documentar (e por quê a documentação importa depois)
- Perguntas frequentes
1. O incidente que começou na sexta à noite
Uma startup de fintech com cerca de 40.000 usuários ativos recebeu uma mensagem de um pesquisador de segurança na tarde de uma sexta-feira: um bucket S3 estava configurado como público. Os dados expostos incluíam extratos financeiros, CPFs e histórico de transações de aproximadamente 12.000 clientes — e o bucket estava acessível há pelo menos 11 dias.
O time de engenharia corrigiu a configuração em menos de uma hora. Mas a pergunta que veio em seguida não tinha resposta técnica: e agora, o que fazemos?
Quem soube quando? Há obrigação de notificar a ANPD? Em quanto tempo? O que contar aos clientes? O que documentar para não piorar a situação se vier um processo administrativo?
Essas perguntas precisam de resposta rápida — e as respostas erradas nos momentos seguintes têm impacto direto na exposição jurídica da empresa.
2. O que qualifica como incidente com dever de notificação
A Lei 13.709/2018 (LGPD), em seu art. 48, estabelece a obrigação do controlador de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A Resolução CD/ANPD nº 4/2023 regulamentou os critérios e o procedimento dessa notificação. Ela define incidente de segurança como:
qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequado ou ilícito, que possa ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Nem todo problema de segurança gera dever de notificação. A obrigação existe quando o incidente pode causar risco ou dano relevante aos titulares. A Resolução CD/ANPD nº 4/2023 lista fatores a considerar na avaliação:
| Fator | Exemplos |
|---|---|
| Natureza dos dados | Dados sensíveis (saúde, financeiro, biométrico) têm peso maior |
| Quantidade de titulares afetados | Quanto maior o número, maior o risco |
| Facilidade de identificação | Dados que permitem identificar diretamente a pessoa |
| Dano potencial | Discriminação, fraude financeira, exposição de vulnerabilidade |
| Perfil dos titulares | Crianças, adolescentes, idosos — grupos com proteção reforçada |
Se a avaliação interna indicar que o incidente pode causar risco ou dano relevante, a notificação é obrigatória. A dúvida — especialmente em incidentes de escala significativa envolvendo dados financeiros — deve ser resolvida em favor da notificação.
Controlador x operador: se sua empresa é operadora (trata dados por conta de outra empresa), a obrigação de notificar a ANPD é do controlador. O operador deve comunicar o incidente ao controlador imediatamente, para que ele avalie e tome as providências cabíveis. Verifique o DPA (Data Processing Agreement, ou Acordo de Tratamento de Dados) com o controlador — ele geralmente define prazo para essa comunicação interna.
3. Contenção: as primeiras ações técnicas e jurídicas
A contenção é o conjunto de ações imediatas para interromper o acesso não autorizado, preservar evidências e evitar que o incidente se expanda.
Ações técnicas imediatas:
- Isolar o sistema ou dado afetado — sem deletar logs. Alterar ou apagar registros de acesso após a descoberta do incidente pode ser interpretado como ocultação e agrava a posição da empresa.
- Identificar o vetor de acesso — como o incidente ocorreu? Credencial comprometida, configuração incorreta, vulnerabilidade explorada?
- Revogar acessos comprometidos — tokens, chaves de API, credenciais que possam ter sido expostos.
- Preservar evidências — logs de acesso, timestamps, capturas de tela do ambiente afetado antes de qualquer alteração.
Ações jurídicas e organizacionais imediatas:
- Acionar o DPO (Encarregado de Proteção de Dados) — o art. 41 da LGPD exige que o controlador indique um encarregado. Em startups sem DPO formal designado, acionar o responsável interno pela privacidade ou assessoria jurídica.
- Documentar o momento do conhecimento — quem soube, como e quando. Isso é crítico: o prazo de 72 horas começa a correr a partir do conhecimento do controlador, não da data do incidente.
- Fazer triagem inicial de risco — quantos titulares foram afetados? Quais dados? Qual o risco potencial para cada titular?
- Não comunicar externamente sem coordenação — comunicados espontâneos em redes sociais ou para a imprensa sem alinhamento jurídico podem agravar a exposição e conflitar com a notificação formal à ANPD.
4. A obrigação de notificar a ANPD: prazo, forma e conteúdo
Prazo:
A Resolução CD/ANPD nº 4/2023 estabelece o prazo de 3 dias úteis (não corridos) a partir do momento em que o controlador toma conhecimento do incidente para comunicar à ANPD — desde que a avaliação interna indique que o incidente pode causar risco ou dano relevante.
O prazo de 72 horas frequentemente citado é uma referência coloquial a esse período de 3 dias úteis — e a distinção importa: um incidente descoberto na sexta-feira à tarde pode ter o prazo se estendendo até a quarta-feira seguinte, dependendo de como o cálculo é feito. A posição conservadora é tratar como 72 horas corridas para fins de planejamento.
Notificação preliminar vs. notificação complementar:
A Resolução CD/ANPD nº 4/2023 admite a notificação em dois estágios:
- Notificação preliminar: realizada no prazo de 3 dias úteis, com as informações disponíveis no momento. Pode estar incompleta — o que importa é o cumprimento do prazo.
- Notificação complementar: complementa a preliminar com informações que não estavam disponíveis inicialmente. Deve ser enviada assim que as informações adicionais forem apuradas.
Como notificar:
A notificação é feita pelo formulário eletrônico disponível no portal da ANPD (anpd.gov.br). O sistema aceita a notificação preliminar e permite a complementação posterior.
Conteúdo mínimo da notificação:
- Descrição do incidente (o que aconteceu, como, quando foi descoberto)
- Dados pessoais afetados (categorias, quantidade estimada de titulares)
- Medidas técnicas e organizacionais adotadas para conter o incidente
- Riscos potenciais para os titulares
- Medidas adotadas ou planejadas para mitigar os riscos
- Identificação do DPO ou contato do controlador
Consequências da não notificação:
A LGPD (art. 52) prevê sanções administrativas que incluem advertência, multa de até 2% do faturamento do grupo no Brasil no último exercício (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados pessoais envolvidos. A não notificação de incidente relevante é infração passível de sanção autônoma — independentemente de qualquer dano comprovado.
5. Comunicação aos titulares: quando é obrigatória e como fazer
A comunicação aos titulares afetados é obrigatória quando o incidente pode lhes causar risco ou dano relevante (LGPD, art. 48, §1º). A Resolução CD/ANPD nº 4/2023 define que essa comunicação deve ser feita em prazo razoável e de forma clara e adequada ao titular.
Quando comunicar:
- O risco ou dano potencial justifica a comunicação — dados financeiros, documentos de identidade, dados de saúde têm peso maior.
- A comunicação pode ajudar o titular a tomar medidas para se proteger (cancelar cartão, monitorar movimentações, alterar senha).
- A ANPD pode determinar a comunicação mesmo que o controlador avalie que ela não é necessária.
Quando a comunicação pode ser mitigada:
- Os dados expostos eram criptografados de forma robusta e não são decifráveis pelo agente que os acessou.
- Os dados já não estavam mais sob acesso não autorizado no momento da comunicação (mas isso não elimina o dever de notificação à ANPD).
Como fazer a comunicação:
A comunicação aos titulares deve:
- Ser direta e clara — sem eufemismos que obscureçam o que aconteceu.
- Descrever os dados afetados e o risco associado.
- Informar as medidas já adotadas pela empresa para conter o incidente.
- Orientar o titular sobre o que ele pode fazer para se proteger.
- Fornecer canal de contato para dúvidas.
A comunicação não precisa — e geralmente não deve — conter informações que possam comprometer investigações em andamento ou revelar detalhes técnicos que facilitem novos ataques.
Registro: guarde o registro de cada comunicação enviada, a data de envio e o meio utilizado. Isso é evidência de cumprimento da obrigação em eventual processo administrativo.
6. O que documentar (e por quê a documentação importa depois)
A documentação do incidente é o principal instrumento de defesa da empresa em um processo administrativo da ANPD ou em ação judicial movida por titulares afetados.
O que documentar desde o primeiro momento:
| O quê | Como |
|---|---|
| Momento do conhecimento | Registro com timestamp (e-mail, ticket, log de sistema) do momento em que alguém na empresa soube do incidente |
| Triagem inicial | Avaliação escrita de quem fez a triagem, com base nos critérios da Resolução CD/ANPD nº 4/2023 |
| Ações de contenção | Registro de cada ação técnica: o que foi feito, por quem, quando |
| Evidências preservadas | Inventário dos logs e registros preservados |
| Comunicações internas | E-mails, mensagens de Slack/Teams entre os envolvidos no gerenciamento do incidente |
| Decisões tomadas e justificativas | Registro de cada decisão relevante (notificar ou não, comunicar ou não, por quê) |
| Notificações enviadas | Cópias das notificações à ANPD e às comunicações aos titulares, com datas |
| Investigação forense | Relatório técnico sobre o vetor de ataque, extensão do acesso e dados afetados |
Por que a documentação importa:
Em um processo sancionatório, a ANPD avalia não apenas o incidente em si, mas a resposta da empresa a ele. A Resolução CD/ANPD nº 4/2023 considera como circunstância atenuante a adoção de boas práticas de governança, a colaboração com a ANPD e a adoção imediata de medidas de mitigação. Documentação consistente é a evidência dessa resposta.
Empresas que não documentam adequadamente não conseguem demonstrar o que fizeram — mesmo que tenham agido corretamente.
Retenção: mantenha a documentação do incidente pelo prazo compatível com o prazo prescricional de ações relacionadas. A pretensão por danos morais, por exemplo, tem prazo prescricional de 3 anos (Código Civil, art. 206, §3º, V).
7. Perguntas frequentes
O prazo de 72 horas começa quando o incidente ocorreu ou quando descobrimos?
O prazo começa quando o controlador toma conhecimento do incidente — não quando ele ocorreu. A Resolução CD/ANPD nº 4/2023 é clara nesse ponto: o prazo de 3 dias úteis conta a partir do momento em que a empresa (o controlador) tem ciência de que houve um incidente que pode causar risco ou dano relevante aos titulares. Isso significa que um incidente que durou 11 dias antes de ser descoberto não tem o prazo contado desde o dia 1 da exposição — mas desde o dia em que alguém na empresa soube. Daí a importância de documentar, com precisão, o momento exato em que o conhecimento chegou à empresa. Internamente, é preciso definir também o que conta como “ciência do controlador”: o ticket do time de segurança? O e-mail para o DPO? O alerta automático do sistema de monitoramento? Essa definição deve constar do plano de resposta a incidentes da empresa, antes de qualquer incidente acontecer.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
Somos operadores, não controladores. Temos obrigação de notificar a ANPD?
A obrigação de notificar a ANPD é do controlador — a empresa que define a finalidade e os meios do tratamento dos dados. O operador (que trata dados por conta do controlador) não notifica a ANPD diretamente, mas tem obrigação de comunicar o incidente ao controlador de forma imediata, para que este possa cumprir o seu prazo de notificação. O prazo e a forma dessa comunicação interna (operador → controlador) devem estar definidos no contrato de tratamento de dados ou no DPA entre as partes. Na ausência de prazo contratual, a comunicação deve ser feita o quanto antes — qualquer atraso que prejudique o cumprimento do prazo pelo controlador pode gerar responsabilidade contratual do operador. Empresas de SaaS, processadores de pagamento e prestadores de serviços de cloud que tratam dados de seus clientes (os controladores) estão geralmente na posição de operadores e precisam ter fluxos de comunicação de incidente claros com cada controlador atendido.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
Qual o risco de não notificar a ANPD em um incidente relevante?
A não notificação de incidente relevante é infração autônoma à LGPD (Lei 13.709/2018), independentemente de qualquer dano aos titulares. As sanções previstas no art. 52 da LGPD incluem advertência (com prazo para adotar medidas corretivas), multa de até 2% do faturamento do grupo no Brasil no último exercício fiscal — limitada a R$ 50 milhões por infração —, bloqueio ou eliminação dos dados pessoais objeto da infração, e publicização da infração após apuração e confirmação. Além das sanções administrativas da ANPD, a empresa pode responder civilmente perante os titulares afetados por danos morais ou materiais decorrentes do incidente. A ausência de notificação pode ser considerada pelo juízo como elemento de má-fé na resposta ao incidente. O risco de não notificar, portanto, é maior do que o de notificar com informações preliminares e complementar depois — que é exatamente o que a Resolução CD/ANPD nº 4/2023 permite.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
Disclaimer e próximos passos
As informações deste artigo são de caráter geral e educativo. Não constituem assessoria jurídica para nenhuma situação específica e não substituem a análise de um advogado sobre o seu caso concreto. A regulamentação da ANPD está em desenvolvimento — verifique sempre a vigência e eventuais atualizações da Resolução CD/ANPD nº 4/2023 e das orientações da autoridade à data de aplicação.
Se sua empresa passou por um incidente de dados e precisa avaliar as obrigações de notificação, ou se quer estruturar um plano de resposta a incidentes antes que um evento aconteça, o ponto de partida é uma conversa com um advogado e o DPO responsável.
Alessandra De Paula Souza — OAB/PR 31.133
Atuação concentrada em LGPD, proteção de dados e assessoria jurídica para startups e PMEs.
Está nessa situação?
Um advogado especialista pode analisar o seu caso com agilidade.
Está nessa situação?
Fale com um advogado especialista.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
