Data Breach Notification: Prazos e Procedimentos no Brasil
Incidentes de segurança com dados pessoais exigem comunicação rápida à ANPD e aos titulares, sob pena de sanções que podem alcançar R$ 50 milhões por infração.
O Que Caracteriza um Incidente de Segurança com Dados Pessoais
Quando analisamos o cenário atual de proteção de dados no Brasil, percebemos que o conceito de incidente de segurança vai muito além de um simples ataque hacker. A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) estabelece que qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais (como acesso não autorizado, destruição, perda, alteração ou vazamento), configura o que internacionalmente conhecemos como data breach. Essa definição abrange situações tão variadas quanto o envio acidental de uma planilha com dados de clientes para o destinatário errado, a perda de um dispositivo corporativo sem criptografia, ou mesmo a exposição de informações em sistemas mal configurados.
A Autoridade Nacional de Proteção de Dados (ANPD) consolidou essa definição por meio da Resolução CD/ANPD nº 15/2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança. Esse regulamento trouxe critérios mais objetivos para identificar quando um incidente precisa ser comunicado, eliminando parte da insegurança jurídica que existia nos primeiros anos de vigência da LGPD. Consideramos fundamental que as organizações compreendam que nem todo incidente de segurança da informação envolve dados pessoais, mas todo incidente com dados pessoais precisa ser avaliado quanto à necessidade de comunicação.
Na prática, observamos que os incidentes mais comuns no Brasil envolvem ataques de ransomware, exposição de bases de dados em servidores desprotegidos, phishing direcionado a colaboradores com acesso a sistemas internos e falhas em integrações entre plataformas. Em todos esses casos, a organização precisa agir com rapidez para conter o incidente, avaliar sua extensão e determinar se a comunicação à ANPD e aos titulares é obrigatória.
Prazos Legais para Comunicação de Incidentes
Um dos pontos mais relevantes que verificamos na Resolução CD/ANPD nº 15/2024 é a definição de prazos concretos para a comunicação de incidentes. O controlador deve comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Esse comunicado deve ser feito no prazo de 3 (três) dias úteis, contados a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais.
Esse prazo de três dias úteis representa uma mudança significativa em relação à orientação anterior, que utilizava o conceito vago de “prazo razoável” previsto no artigo 48 da LGPD. Entendemos que essa definição trouxe maior previsibilidade para as organizações, embora o prazo seja considerado curto quando comparamos com legislações de outros países (o GDPR europeu, por exemplo, estabelece 72 horas). Na prática, três dias úteis podem se tornar cinco ou mais dias corridos quando há feriados envolvidos, o que oferece algum alívio operacional.
Destacamos que o prazo começa a contar a partir do conhecimento pelo controlador, não a partir da ocorrência do incidente em si. Essa distinção é relevante porque muitos incidentes só são descobertos dias, semanas ou até meses após sua ocorrência. No entanto, a ANPD pode questionar a diligência do controlador caso o intervalo entre a ocorrência e a descoberta seja excessivamente longo, especialmente se a organização não mantinha mecanismos adequados de detecção e monitoramento.
Além da comunicação inicial, o regulamento prevê a possibilidade de comunicação complementar. Caso o controlador não disponha de todas as informações necessárias no momento da comunicação inicial, ele pode complementar as informações em até 20 (vinte) dias úteis contados da data da comunicação inicial. Essa previsão é bastante prática, pois reconhece que investigações forenses digitais demandam tempo e que exigir informações completas em três dias seria inviável na maioria dos casos.
A comunicação tempestiva de incidentes de segurança não é apenas uma obrigação legal, é uma demonstração de respeito aos titulares e um fator de preservação da confiança na relação entre organizações e seus clientes.
Procedimentos Práticos para a Comunicação
Quando analisamos os procedimentos exigidos pela ANPD, identificamos que a comunicação de incidente deve conter informações específicas e detalhadas. O controlador precisa informar a natureza dos dados pessoais afetados, o número de titulares envolvidos (ainda que aproximado), as medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente, as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente, e os motivos da demora (caso a comunicação não tenha sido feita no prazo de três dias úteis).
A comunicação à ANPD é realizada por meio de formulário eletrônico disponível no sistema Peticionamento Eletrônico do órgão (SUPER.BR). Recomendamos que as organizações mantenham cadastro prévio nesse sistema, pois a necessidade de criar uma conta em meio a uma crise pode consumir tempo precioso. O encarregado de dados (DPO) da organização é o responsável por realizar essa comunicação, e seus dados de contato devem estar atualizados junto à ANPD.
No que diz respeito à comunicação aos titulares, verificamos que ela deve ser feita de forma direta e individualizada sempre que possível. A ANPD aceita comunicação por meios como e-mail, correspondência física, telefone ou mensagem eletrônica. Quando a comunicação individual for inviável (por exemplo, quando não se conhece a identidade de todos os titulares afetados), a organização pode utilizar meios de comunicação ampla, como publicação em seu site institucional, redes sociais ou veículos de imprensa. A linguagem utilizada deve ser clara, acessível e em português.
Elementos Essenciais do Plano de Resposta a Incidentes
Consideramos indispensável que toda organização que trate dados pessoais mantenha um Plano de Resposta a Incidentes (PRI) atualizado e testado periodicamente. Esse plano deve definir os papéis e responsabilidades da equipe de resposta, os critérios para classificação da gravidade do incidente, os fluxos de comunicação interna e externa, os procedimentos de contenção e preservação de evidências, e os modelos de comunicação à ANPD e aos titulares. A existência de um PRI bem estruturado pode ser a diferença entre uma resposta coordenada e eficiente e um cenário de caos institucional que agrava as consequências do incidente.
Registro e Documentação
Ressaltamos que o artigo 48 da LGPD e o regulamento da ANPD exigem que o controlador mantenha registro de todos os incidentes de segurança, inclusive daqueles que não foram comunicados à ANPD por não atenderem ao critério de risco ou dano relevante. Esse registro deve conter a data de conhecimento do incidente, a descrição geral das circunstâncias, a natureza dos dados afetados, o número de titulares envolvidos, a avaliação de risco realizada e as medidas adotadas. A manutenção desse registro é fundamental para demonstrar conformidade em eventuais fiscalizações.
Critérios de Risco ou Dano Relevante
Nem todo incidente de segurança com dados pessoais precisa ser comunicado à ANPD e aos titulares. A obrigação de comunicação surge quando o incidente pode acarretar “risco ou dano relevante” aos titulares. Analisamos que a Resolução CD/ANPD nº 15/2024 estabeleceu critérios mais claros para essa avaliação, considerando fatores como a natureza e o volume dos dados afetados, a facilidade de identificação dos titulares a partir dos dados expostos, a gravidade e a reversibilidade das consequências para os titulares, e se os dados estavam protegidos por medidas que os tornassem ininteligíveis (como criptografia).
Dados pessoais sensíveis (informações sobre saúde, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados genéticos, biométricos, entre outros), dados de crianças e adolescentes, e dados que permitam inferências discriminatórias elevam significativamente o nível de risco do incidente. Da mesma forma, incidentes que envolvam dados financeiros, credenciais de acesso (senhas) ou documentos de identificação tendem a ser classificados como de risco relevante, dado o potencial de fraudes e danos patrimoniais.
Observamos que a ANPD pode, mesmo após receber a comunicação do controlador, determinar que o incidente seja amplamente divulgado em meios de comunicação, caso entenda que essa medida é necessária para proteger os titulares. Essa possibilidade reforça a importância de uma comunicação proativa e transparente, pois a tentativa de minimizar um incidente grave pode resultar em exposição ainda maior e em sanções adicionais.
Sanções e Consequências do Descumprimento
As consequências de não comunicar um incidente de segurança nos termos da legislação são severas. A LGPD prevê sanções administrativas que vão desde advertências até multas de até 2% do faturamento da pessoa jurídica (limitadas a R$ 50 milhões por infração), publicização da infração, bloqueio ou eliminação dos dados pessoais e suspensão parcial ou total do exercício de atividades relacionadas ao tratamento de dados. A ANPD já demonstrou disposição para aplicar essas sanções, e verificamos que a tendência é de intensificação da fiscalização à medida que o órgão amadurece institucionalmente.
Além das sanções administrativas, o descumprimento pode gerar responsabilidade civil, com obrigação de indenizar os titulares por danos materiais e morais. Ações coletivas propostas pelo Ministério Público ou por associações de defesa do consumidor também representam um risco significativo. Analisamos que o custo reputacional de um incidente mal gerenciado frequentemente supera o valor das multas, especialmente em setores nos quais a confiança do cliente é um ativo estratégico.
Recomendamos que as organizações invistam na prevenção como estratégia prioritária, mas que também estejam preparadas para responder de forma rápida e transparente quando incidentes ocorrerem. A combinação de medidas técnicas robustas (criptografia, controle de acesso, monitoramento contínuo), governança de dados efetiva (políticas, treinamentos, auditorias) e um plano de resposta a incidentes bem estruturado representa a abordagem mais adequada para reduzir tanto a probabilidade quanto o impacto de incidentes de segurança.
Perguntas Frequentes
Qual é o prazo para comunicar um incidente de segurança com dados pessoais à ANPD?
O prazo estabelecido pela Resolução CD/ANPD nº 15/2024 é de 3 (três) dias úteis, contados a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais. Caso não seja possível reunir todas as informações necessárias nesse prazo, o controlador pode complementar a comunicação em até 20 dias úteis adicionais.
Todo incidente de segurança precisa ser comunicado à ANPD e aos titulares?
Não. A obrigação de comunicação existe apenas quando o incidente pode acarretar risco ou dano relevante aos titulares. Incidentes que envolvam dados protegidos por criptografia forte ou que afetem apenas dados já públicos podem não exigir comunicação. Contudo, todo incidente deve ser registrado internamente, independentemente de ser comunicado ou não.
Quais são as penalidades para quem não comunicar um data breach no prazo legal?
A LGPD prevê sanções que incluem advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização da infração, bloqueio dos dados e suspensão das atividades de tratamento. Além disso, a organização pode ser responsabilizada civilmente por danos causados aos titulares, incluindo indenizações por danos morais e materiais em ações individuais ou coletivas.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
