Guia do incidente de segurança de dados pessoais na sua empresa: o que fazer nos primeiros 3 dias úteis e como comunicar a ANPD

Escrito por Raphaella Pungirum, advogada especializada em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 13/04/2026

Um alerta chega: dados de clientes da sua empresa podem ter sido expostos. O que fazer? Quem precisa ser avisado? Existe prazo legal?

Se sua empresa trata dados pessoais, e praticamente toda empresa com cadastro de clientes, colaboradores ou parceiros trata, a LGPD impõe obrigações concretas e prazos apertados em caso de incidente de segurança e vazamanto de dados. Descumpri-las pode transformar um problema técnico em um processo administrativo com multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Cada violação pode ser contada como infração separada.

Neste guia, explicamos passo a passo o que sua empresa deve fazer desde a detecção de um incidente até a comunicação à ANPD, e o que pode dar muito errado se você não agir corretamente.

O que é um incidente de segurança pela LGPD?

Muitas empresas associam incidente de dados apenas a ataques hackers ou grandes brechas. A definição da ANPD é mais ampla. Pela Resolução CD/ANPD nº 15/2024, incidente de segurança é qualquer evento confirmado relacionado à violação da confidencialidade, integridade e disponibilidade de dados pessoais, incluindo:

• Acesso não autorizado a dados pessoais — por terceiros ou por funcionários sem permissão;
• Perda, destruição ou alteração não autorizada de dados pessoais;
• Vazamento de dados ou comunicação indevida a destinatários não autorizados;
• Qualquer forma de tratamento inadequado ou ilícito que possa gerar risco aos titulares.

Na prática, vemos situações como: banco de dados exposto por erro de configuração, e-mail enviado ao destinatário errado com lista de clientes, notebook com dados roubado sem criptografia, ou ransomware que potencialmente copiou arquivos antes de bloquear o sistema.

A pergunta-chave não é “houve ataque?”, mas sim “houve risco para os direitos e liberdades dos titulares dos dados?”

O prazo: 3 dias úteis a partir da confirmação do incidente de segurança

O art. 48 da LGPD exige que o controlador de dados comunique à ANPD, e aos próprios titulares, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15/2024 regulamentou esse prazo em 3 dias úteis a partir da confirmação do incidente, não da ocorrência, mas do momento em que a empresa tomou conhecimento de forma consolidada.

Isso torna a fase inicial de investigação especialmente crítica: ela define quando o relógio começa a correr. Se não for possível reunir todas as informações nesse prazo, a empresa pode enviar uma comunicação preliminar à ANPD e tem até 20 dias úteis contados dessa comunicação para complementá-la com o relatório completo.

Um detalhe que muitas empresas ignoram: o cadastro como usuário externo no sistema SEI da ANPD, plataforma obrigatória para envio da comunicação, leva até 3 dias úteis para ser liberado. O cadastro precisa ser feito antes de qualquer incidente de segurança acontecer. Deixar para a hora da crise inviabiliza o cumprimento do prazo.

Quando a comunicação à ANPD é obrigatória?

Nem todo incidente exige comunicação. O critério é a existência de risco ou dano relevante aos titulares. Pela Resolução CD/ANPD nº 15/2024, o incidente de segurança deve afetar significativamente direitos e liberdades fundamentais e envolver pelo menos um dos seguintes critérios:

• Dados pessoais sensíveis (saúde, biometria, origem racial, convicção religiosa, dados genéticos);
• Dados de crianças, adolescentes ou idosos;
• Dados financeiros ou de transações;
• Dados de autenticação em sistemas (senhas, tokens, credenciais);
• Dados protegidos por sigilo legal, judicial ou profissional;
• Dados em larga escala — volume significativo de titulares, independentemente da categoria.

Dano relevante inclui situações em que o incidente possa impedir o exercício de direitos, causar danos materiais ou morais como discriminação, violação à imagem, fraudes financeiras ou roubo de identidade.

Regra prática: na dúvida, comunique e documente a decisão. O custo de comunicar um incidente que não precisava ser comunicado é muito menor do que o custo de não comunicar um que precisava.

O protocolo de resposta à incidente de segurança: etapas e obrigações

1. Detecção e contenção imediata – primeiras horas

Assim que um colaborador ou sistema identificar um evento suspeito, deve comunicar imediatamente o Encarregado/DPO ou o responsável de privacidade da empresa. A partir daí, a equipe de resposta deve:

• Isolar os sistemas comprometidos para evitar propagação, sem deletar logs ou registros;
• Acionar o time de TI ou segurança da informação para correção das vulnerabilidades — a meta interna é 8 horas para contenção técnica;
• Notificar CEO, jurídico e, se existir, comitê de crise para alinhamento imediato sobre a gestão do incidente;
• Preservar todas as evidências digitais: logs, registros de acesso, capturas de sistema. Esses materiais são essenciais para a ANPD e para eventual defesa em processo.

Destruir ou sobrescrever evidências para “limpar” o sistema é um dos erros mais graves: pode ser interpretado pela ANPD como tentativa de ocultação e agrava significativamente as sanções aplicáveis.

2. Avaliação e triagem – até 24 horas

A equipe de resposta deve mapear com precisão:

• Natureza e categoria dos dados afetados: CPF, dados bancários, saúde, biometria, senhas?
• Volume e perfil dos titulares: quantas pessoas, são crianças, idosos, funcionários, clientes?
• Tipo e causa do incidente de segurança: acesso não autorizado, ransomware, erro humano, falha técnica?
• Risco real de dano: o dado vazado pode ser usado para fraude, roubo de identidade, discriminação?
• Os dados estavam protegidos? Criptografia e outras medidas de segurança reduzem o risco avaliado.

Com base nessa avaliação, a equipe decide se a comunicação à ANPD é obrigatória e inicia o rascunho da notificação. A mesma lógica se aplica se a empresa atuar como operadora de dados: nesse caso, deve notificar o controlador em até 2 dias úteis após a ciência do incidente, ou no prazo contratualmente estabelecido.

3. Comunicação à ANPD e aos titulares – até 3 dias úteis

A comunicação à ANPD é feita exclusivamente pelo sistema SEI da ANPD, com acesso pelo Encarregado ou representante com procuração eletrônica cadastrada. O formulário exige:

• Data e hora da detecção do incidente e, quando possível, da sua ocorrência;
• Descrição da natureza e categoria dos dados pessoais atingidos;
• Número de titulares afetados, discriminando crianças, adolescentes ou idosos, quando aplicável;
• Medidas técnicas e de segurança adotadas antes e após o incidente;
• Riscos identificados e possíveis impactos aos titulares;
• Medidas adotadas ou a adotar para reverter ou mitigar os efeitos;
• Dados do Encarregado/DPO e identificação do controlador;
• Motivos da demora, caso a comunicação ultrapasse o prazo de 3 dias úteis.

A comunicação aos titulares deve ocorrer no mesmo prazo de 3 dias úteis quando houver risco relevante identificado. Deve ser feita com linguagem simples e direta, de forma individualizada quando possível, informando: natureza dos dados afetados, possíveis impactos, medidas que o titular pode tomar para se proteger e canal de contato da empresa para exercício de direitos.

Quando não for viável a comunicação individualizada, a empresa pode usar seu site, aplicativo ou redes sociais, mas o conteúdo deve estar visível por no mínimo 3 meses.

Agentes de pequeno porte têm prazo dobrado para comunicação, conforme a Resolução CD/ANPD nº 2/2022.

4. Investigação, erradicação e recuperação

Após a contenção, a equipe deve investigar a causa raiz do incidente de segurança, documentar todas as descobertas e coletar evidências. Em seguida, reestruturar os sistemas afetados para remover a vulnerabilidade que causou o problema e restaurar o funcionamento normal. Evidências devem ser retidas por no mínimo 5 anos, para eventual exercício de direitos em processos judiciais ou administrativos.

Se houver indícios de culpa ou dolo de colaborador ou fornecedor, deve-se conduzir investigação interna formal, considerando: gravidade da infração, boa-fé do infrator, grau do dano, reincidência e cooperação.

5. Relatório final e lições aprendidas – até 20 dias úteis

O relatório completo deve ser enviado à ANPD dentro de 20 dias úteis após a comunicação preliminar. Deve conter linha do tempo completa, análise técnica da causa raiz, evidências preservadas, comprovantes de comunicações realizadas, medidas corretivas implementadas e cronograma das pendentes.

Além disso, recomenda-se que a equipe de resposta registre as lições aprendidas: quais falhas foram exploradas, o que foi feito de diferente do previsto, quais ferramentas ou recursos adicionais seriam necessários. Isso alimenta a atualização do Plano de Resposta a Incidentes de Segurança de Dados Pessoais e reduz a probabilidade de reincidência.

Anualmente, a equipe de resposta deve elaborar um relatório consolidado com a efetividade do plano, os incidentes relevantes do período e os resultados dos testes de continuidade de negócios.

O que pode dar errado, e o que cada erro pode custar

Na prática, estes são os erros mais comuns que empresas cometem em um incidente de segurança de dados pessoais:

• Não comunicar a ANPD no prazo. A ausência de comunicação é tratada como infração autônoma, separada do próprio incidente. Isso significa que a empresa pode ser autuada duas vezes: pelo incidente e pela omissão na comunicação. Além disso, a relação com a ANPD fica comprometida para interações futuras.

• Destruir evidências. Apagar logs e registros para acelerar a recuperação do sistema é um dos erros mais graves. A ANPD pode interpretar como tentativa de ocultação, o que agrava sanções e retira da empresa os principais elementos de defesa em um processo administrativo.

• Não ter o cadastro no SEI da ANPD antes do incidente. O processo de liberação de acesso leva até 3 dias úteis. Empresas que descobrem isso na hora da crise ficam impossibilitadas de cumprir o prazo legal. O cadastro precisa ser feito de forma preventiva, como parte da estrutura mínima de governança de dados.

• Comunicar os titulares de forma vaga ou minimizante. Uma comunicação que omite detalhes ou tenta minimizar o incidente gera desconfiança, aumenta o risco de reclamações individuais à ANPD pelos próprios titulares e pode ser usada como evidência de má-fé no processo administrativo.

• Não ter um Encarregado/DPO formalmente designado. A ANPD exige a identificação do encarregado de proteção de dados na comunicação do incidente de segurança. Empresas sem DPO acumulam duas irregularidades: o incidente em si e a ausência do cargo, que é requisito legal autônomo.

• Tratar o incidente de segurança de dados pessoais como problema exclusivo de TI. A resposta técnica é necessária, mas insuficiente. Empresas que não envolvem o jurídico desde o início costumam reagir bem na contenção e mal na comunicação, e são justamente os erros de comunicação que geram os maiores passivos jurídicos.

Antes do incidente: o que sua empresa precisa ter estruturado

A forma mais eficaz de responder a um incidente de segurança é estar preparado antes que ele aconteça. Empresas com estrutura mínima de governança de dados respondem mais rápido, sofrem menos danos e recebem sanções menores. A LGPD considera a adoção de mecanismos de governança e a prontidão na resposta como fatores de atenuação das penalidades.

• Plano de resposta a incidentes documentado. Define previamente quem aciona quem, quais sistemas isolar, como classificar o risco e qual o fluxo de comunicação interno e externo. Sem esse plano, cada incidente vira improviso.

• Encarregado/DPO formalmente designado. Mesmo que seja externo, precisa existir formalmente, ter contato registrado e ser o ponto oficial com a ANPD. O cargo é requisito legal e deve estar refletido nos documentos da empresa.

• Cadastro ativo no SEI da ANPD. O acesso deve ser criado de forma preventiva, com procuração eletrônica emitida em favor do representante que vai operar o sistema em caso de incidente.

• Mapeamento de dados atualizado. Saber quais dados a empresa trata, onde estão armazenados, quem tem acesso e quais fornecedores os processam é o que determina a velocidade e a precisão da resposta em um incidente de segurança.

• Contratos de processamento de dados (DPAs) com fornecedores. Se um fornecedor sofrer o incidente, a empresa precisa de mecanismo contratual para exigir comunicação imediata e delimitar responsabilidade. Sem DPA, a responsabilidade solidária pode recair inteiramente sobre o controlador.

• Medidas técnicas de segurança: criptografia, gestão de acessos e backups. Dados criptografados vazados têm impacto avaliado como significativamente menor pela ANPD. A presença dessas medidas é considerada na graduação das sanções.

Checklist executivo: resumo das ações obrigatórias

Fase 1 – Contenção imediata do incidente de segurança (primeiras horas)

Fase 2 — Avaliação e triagem (até 24 horas)

Fase 3 — Comunicação (até 3 dias úteis da confirmação)

Fase 4 — Encerramento (até 20 dias úteis da comunicação preliminar)

Perguntas frequentes

Sou obrigado a comunicar todo incidente à ANPD?

Não. Apenas incidentes que possam gerar risco ou dano relevante aos titulares precisam ser comunicados. Se os dados estavam criptografados, o incidente foi contido sem acesso externo confirmado e não há risco real para os titulares, a comunicação pode não ser necessária. Mas essa avaliação deve ser documentada internamente, a empresa precisa poder demonstrar, de forma irrefutável, por que não comunicou.

Um e-mail com dados de clientes foi enviado para o destinatário errado. É um incidente?

Sim. Constitui acesso não autorizado, ainda que involuntário. Se o e-mail continha dados que podem gerar risco aos titulares, o protocolo de resposta deve ser ativado. Incidentes contidos rapidamente, como obter confirmação de exclusão por parte do destinatário e registrar isso, têm avaliação de risco menor e podem não exigir comunicação à ANPD, desde que essa conclusão esteja documentada.

O incidente foi causado por um fornecedor nosso. Quem comunica a ANPD?

O controlador dos dados, ou seja, sua empresa, é o responsável pela comunicação à ANPD, independentemente de quem causou o incidente. O fornecedor, na relação jurídica, é o operador e deve notificar o controlador em 2 dias úteis. Com um DPA vigente, sua empresa pode buscar regresso contratual. Sem DPA, a responsabilidade solidária pode recair inteiramente sobre você.

Minha empresa é pequena. As obrigações são as mesmas?

A LGPD se aplica a qualquer empresa que trate dados pessoais. O porte é considerado na graduação das sanções, e agentes de pequeno porte têm prazo dobrado para comunicação à ANPD. Mas as obrigações de resposta, avaliação de risco e comunicação existem independentemente do tamanho.

Conclusão

O que define se um incidente de dados vai se tornar um processo administrativo, ou uma multa expressiva, é, principalmente, a forma como a empresa reage. A LGPD considera boa-fé, prontidão, cooperação e adoção de mecanismos de governança como fatores de atenuação das penalidades.

Empresas que têm plano de resposta documentado, Encarregado designado, cadastro ativo no SEI e mapeamento de dados respondem em horas. Empresas sem estrutura improvisam em dias e pagam o preço.

Se você identificou um incidente agora: pare de ler e acione um advogado especializado em proteção de dados. O prazo já está correndo.