Vazamento de dados: o que a empresa precisa fazer nas primeiras horas

Quando uma empresa sofre vazamento, invasão ou perda de dados pessoais, o relógio começa a correr. A Lei Geral de Proteção de Dados impõe ao controlador o dever de comunicar o incidente à Autoridade Nacional de Proteção de Dados e aos titulares afetados sempre que houver risco relevante. Um roteiro de resposta bem estruturado, com prazos, conteúdo mínimo e medidas de contenção, é o que separa uma falha gerenciável de uma autuação severa.

O que caracteriza um incidente de segurança com dados pessoais

Incidente de segurança, na lógica da LGPD, é qualquer evento que comprometa a confidencialidade, a integridade ou a disponibilidade de dados pessoais. Isso abrange vazamentos por invasão externa, acessos indevidos por funcionários, envio de informações ao destinatário errado, perda de dispositivos, sequestro de dados por ransomware e até falhas de configuração que expõem bancos de dados na internet.

Nem todo incidente, porém, aciona o dever de comunicar. O artigo 48 da LGPD vincula a notificação à existência de risco ou dano relevante aos titulares. A avaliação dessa relevância é o primeiro passo do roteiro de resposta e precisa ser documentada, pois a empresa terá de justificar tecnicamente por que comunicou ou por que entendeu não haver risco a comunicar.

Fatores que elevam a relevância incluem a natureza sensível dos dados (saúde, biometria, dados financeiros), o volume de titulares atingidos, a facilidade de identificação das pessoas e a possibilidade concreta de fraude, discriminação ou dano patrimonial. A ausência de criptografia ou de anonimização dos dados expostos costuma ser determinante para reconhecer o risco.

Prazo e forma de comunicação à ANPD

A LGPD exige que a comunicação seja feita em prazo razoável. Esse prazo foi concretizado em regulamento próprio da Autoridade Nacional, que fixou o limite de três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais e gerou risco relevante aos titulares. O marco inicial, portanto, não é a data do ataque, mas a data em que a organização toma ciência qualificada do ocorrido.

A comunicação é endereçada por meio eletrônico, em formulário disponibilizado pela própria Autoridade. Quando a empresa ainda não dispõe de todas as informações no momento da notificação, admite-se a comunicação preliminar, seguida de complementação assim que os elementos forem apurados. Essa possibilidade é estratégica: permite cumprir o prazo sem aguardar o encerramento da investigação técnica.

Atrasar a comunicação sem justificativa idônea agrava a situação. A demora não apenas amplia o dano potencial aos titulares, como sinaliza descontrole interno e tende a pesar na dosimetria de eventual sanção. Por isso, o acionamento do fluxo de resposta deve ser imediato, mesmo que a quantificação completa do incidente ainda esteja em curso.

Vale registrar que a contagem em dias úteis, embora ofereça alguma folga, é curta diante da complexidade de uma investigação forense. Empresas maduras mantêm um plano de resposta a incidentes previamente desenhado, com responsáveis definidos e canais já mapeados, justamente para não perder horas preciosas decidindo quem faz o quê depois da descoberta da falha.

O que deve constar na notificação

O conteúdo mínimo da comunicação está previsto no próprio artigo 48 da LGPD. A notificação deve descrever a natureza dos dados pessoais afetados e trazer informações sobre os titulares envolvidos, com a indicação aproximada do número de pessoas atingidas quando a quantidade exata ainda não for conhecida.

É obrigatório indicar as medidas técnicas e de segurança que estavam em uso para a proteção dos dados, respeitados os segredos comercial e industrial. Esse ponto é sensível: demonstrar que existiam controles adequados antes do incidente ajuda a afastar a tese de negligência, enquanto a ausência de qualquer medida tende a caracterizar falha grave de governança.

A notificação também precisa apontar os riscos relacionados ao incidente, os motivos de eventual demora na comunicação e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo. Quanto mais concreto e verificável for esse conjunto de informações, maior a credibilidade da resposta perante a Autoridade.

Um erro comum é tratar a notificação como mera formalidade burocrática, preenchida às pressas e sem lastro documental. A Autoridade pode solicitar esclarecimentos adicionais, determinar a adoção de providências e, conforme o caso, exigir ampla divulgação do fato em meios de comunicação. Cada afirmação feita no formulário deve, portanto, estar sustentada por evidências internas.

Comunicação aos titulares afetados

Além da Autoridade, os titulares cujos dados foram comprometidos também devem ser informados quando o incidente puder gerar risco ou dano relevante. A comunicação direta cumpre função protetiva: permite que a pessoa adote cautelas, como trocar senhas, monitorar movimentações financeiras e reforçar a atenção contra tentativas de fraude e golpes de engenharia social.

A linguagem dessa comunicação deve ser clara e acessível, evitando jargão técnico que esvazie o aviso. É recomendável explicar o que aconteceu, quais dados foram afetados, quais riscos decorrem disso e quais providências a empresa adotou, oferecendo um canal para dúvidas. A transparência, nesse momento, reduz o desgaste reputacional e demonstra respeito ao titular.

Quando o número de afetados é muito elevado ou os contatos individuais não estão disponíveis, admite-se a divulgação por meios que assegurem ampla publicidade, como avisos em sítios eletrônicos e veículos de imprensa. A escolha do meio deve garantir que a informação efetivamente alcance o público atingido, e não apenas cumprir um requisito de fachada.

Medidas que reduzem a responsabilização

A responsabilização por incidentes não é automática. Ela é modulada pela conduta da empresa antes, durante e depois da falha. Quem comprova ter implementado medidas de segurança proporcionais ao risco, mantido registros de tratamento e reagido com diligência ao incidente ocupa posição muito mais favorável do que quem ignorou a proteção de dados até ser surpreendido.

Entre as providências que pesam a favor estão a existência de um programa de governança em privacidade, a nomeação de encarregado, a realização de relatórios de impacto para tratamentos de maior risco e a manutenção de um plano de resposta a incidentes testado periodicamente. Esses elementos evidenciam boa-fé e cuidado, fatores expressamente valorizados na fixação de sanções.

A resposta posterior também conta. Conter rapidamente o incidente, preservar evidências, comunicar nos prazos, apoiar os titulares afetados e corrigir a vulnerabilidade exploradas reduzem o dano e demonstram comprometimento. A documentação de toda essa cadeia de decisões é o que permite, mais tarde, sustentar perante a Autoridade e perante o Judiciário que a organização agiu como dela se esperava.

Por fim, contratos com operadores e fornecedores devem distribuir claramente responsabilidades e prever obrigações de notificação interna em caso de incidente. Muitas falhas nascem na cadeia de terceiros, e a ausência de cláusulas adequadas costuma transferir ao controlador o ônus integral de um problema que começou fora de suas fronteiras.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.