Incidentes de Segurança e Obrigação de Notificação pela LGPD

O Que É um Incidente de Segurança para Fins da LGPD

A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), não traz uma definição exaustiva de “incidente de segurança”, mas o conceito foi desenvolvido a partir da leitura sistemática do texto legal e das resoluções da Autoridade Nacional de Proteção de Dados (ANPD). De modo geral, compreendemos como incidente de segurança qualquer evento adverso confirmado ou suspeito que comprometa a confidencialidade, a integridade ou a disponibilidade de dados pessoais.

Isso abrange situações bastante distintas no cotidiano empresarial. Um ataque de ransomware que criptografa bases de dados de clientes configura incidente. Um acesso indevido por funcionário sem autorização para determinada categoria de informação também. A perda física de um notebook corporativo contendo planilhas com dados de colaboradores, o envio acidental de e-mail com lista de contatos para destinatário errado, a exposição pública de bucket de armazenamento em nuvem configurado incorretamente — todos esses eventos estão no radar da LGPD.

O que determina a gravidade do incidente, e por consequência a intensidade das obrigações de notificação, é uma análise de risco que considera: a natureza dos dados afetados (dados comuns ou dados sensíveis), a quantidade de titulares envolvidos, a facilidade de identificação dos titulares a partir dos dados expostos, os possíveis danos que podem decorrer do incidente e a adoção ou não de medidas técnicas que possam dificultar o acesso ou uso indevido dos dados.

Dados sensíveis, na linguagem da LGPD, são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Quando esses dados são envolvidos em um incidente, o nível de atenção deve ser proporcionalmente maior, pois os riscos de discriminação e dano aos titulares são mais elevados.

Quem Deve Notificar e Quem Deve Ser Notificado

A LGPD atribui ao controlador a responsabilidade primária pela notificação em caso de incidente. O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais: define as finalidades, os meios e os critérios de tratamento. Em uma relação empresarial típica, o controlador é a empresa que coleta dados de seus clientes, funcionários ou parceiros.

O operador, por outro lado, é quem trata os dados em nome do controlador, geralmente em razão de um contrato de prestação de serviços. Empresas de tecnologia que hospedam sistemas, processadoras de pagamento, plataformas de automação de marketing e prestadoras de serviços de RH frequentemente atuam como operadores. Quando um operador identifica um incidente em sua infraestrutura que afeta dados de um controlador, ele deve comunicar imediatamente o controlador, para que este possa cumprir suas obrigações legais.

A notificação prevista no artigo 48 da LGPD deve ser dirigida à ANPD e ao titular dos dados afetados. A ANPD é o órgão federal responsável por zelar pelo cumprimento da lei, editar normas e fiscalizar as práticas de tratamento de dados no país. A notificação aos titulares tem natureza diferente: visa proteger diretamente a pessoa cujos dados foram expostos, permitindo que ela tome medidas para se proteger de eventuais fraudes ou danos.

Nem todo incidente gera obrigação de notificação imediata aos titulares. A análise deve verificar se há risco ou dano relevante para os titulares. Se os dados expostos eram todos pseudonimizados com técnica robusta, se o acesso indevido foi contido antes de qualquer exfiltração confirmada, ou se os dados não permitem identificação direta ou indireta dos titulares, pode ser que a notificação aos titulares não seja obrigatória, embora a comunicação à ANPD ainda possa ser exigível.

Prazos, Conteúdo da Notificação e Regulamentação da ANPD

O artigo 48 da LGPD estabelece que a comunicação deve ocorrer “em prazo razoável”. A expressão foi objeto de regulamentação específica pela ANPD por meio da Resolução CD/ANPD nº 15/2024, que trouxe maior precisão ao tema e tornou o cenário regulatório mais previsível para os agentes de tratamento.

De acordo com a regulamentação da ANPD, o prazo para comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares é de três dias úteis a contar do conhecimento do incidente, para uma comunicação preliminar. Essa comunicação inicial não precisa conter todos os detalhes, mas deve trazer as informações disponíveis naquele momento. Um relatório complementar mais detalhado pode ser apresentado em até vinte dias úteis após o incidente.

O conteúdo mínimo da comunicação à ANPD inclui: a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para proteção dos dados; os riscos relacionados ao incidente; as razões pelas quais houve demora na comunicação, caso não tenha sido imediata; e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente.

A ANPD disponibiliza um formulário eletrônico em seu portal para o registro das comunicações de incidentes. O preenchimento deve ser realizado com rigor, pois as informações prestadas podem ser utilizadas no âmbito de processos administrativos sancionatórios. Inconsistências ou omissões relevantes podem agravar a situação da organização perante a autoridade.

Quanto à notificação direta aos titulares, ela deve ser feita de forma clara, objetiva e em linguagem acessível. O titular precisa compreender o que aconteceu, quais dados seus foram afetados e quais medidas ele pode tomar para se proteger. A comunicação deve ser individualizada sempre que possível, mas a ANPD pode autorizar comunicação por meios amplos quando a notificação individual for inviável ou desproporcional.

Boas Práticas de Due Diligence e Governança de Dados para Prevenção e Resposta

A obrigação de notificação não existe no vácuo. Ela pressupõe que a organização possui mecanismos para detectar incidentes, avaliá-los e acionar os procedimentos adequados. A due diligence em proteção de dados envolve um conjunto de práticas preventivas e reativas que, quando bem implementadas, reduzem tanto a probabilidade de ocorrência de incidentes quanto a extensão dos danos quando eles ocorrem.

O primeiro elemento dessa estrutura é o mapeamento de dados. Uma organização que não sabe quais dados pessoais trata, onde eles estão armazenados, quem tem acesso a eles e quais sistemas os processam não consegue avaliar adequadamente o impacto de um incidente. O mapeamento, frequentemente chamado de inventário de dados ou ROPA (Registro das Atividades de Tratamento), é o ponto de partida da governança de dados e um requisito explícito da LGPD para controladores e operadores de médio e grande porte.

O segundo elemento é a política de segurança da informação, que deve ser adaptada ao porte e ao perfil de risco da organização. Não se trata de adotar as tecnologias mais sofisticadas disponíveis no mercado, mas de implementar medidas técnicas e administrativas proporcionais ao risco que o tratamento representa. Controles de acesso baseados no princípio do menor privilégio, criptografia de dados em repouso e em trânsito, autenticação multifator para sistemas críticos, e monitoramento de acessos são exemplos de medidas que reduzem significativamente a superfície de ataque.

O terceiro elemento é o plano de resposta a incidentes. Esse documento deve definir quem são os responsáveis internos pelo acionamento do protocolo (geralmente o Encarregado pelo Tratamento de Dados, o DPO), quais são os critérios para classificar um evento como incidente de segurança, quais são os passos de contenção, erradicação e recuperação, e como se dará o processo de comunicação interna e externa. Simular cenários de incidente periodicamente — os chamados exercícios de tabletop — ajuda a identificar lacunas no plano antes que elas sejam testadas em uma situação real.

Do ponto de vista jurídico, a due diligence em contratos com terceiros é igualmente relevante. Toda cadeia de fornecedores que acessa ou trata dados pessoais da organização representa um vetor de risco. Os contratos com operadores devem conter cláusulas específicas de proteção de dados que incluam a obrigação de notificação imediata em caso de incidente, a responsabilidade do operador por suas próprias falhas de segurança, e as medidas técnicas mínimas exigidas. A LGPD responsabiliza solidariamente o controlador por danos causados pelo operador quando este descumprir as obrigações da lei ou as instruções do controlador.

A figura do Encarregado pelo Tratamento de Dados, o DPO, tem papel central nessa estrutura. Ele atua como canal de comunicação entre a organização, a ANPD e os titulares de dados. Em uma situação de incidente, é o DPO quem coordena a resposta, avalia a obrigação de notificação e conduz o processo de comunicação com a autoridade. Organizações que investem na capacitação e no empoderamento do DPO constroem uma capacidade de resposta que pode fazer diferença significativa na gestão da crise.

As sanções previstas na LGPD para descumprimento das obrigações de notificação incluem advertência, multa simples de até 2% do faturamento da empresa no Brasil no exercício anterior, limitada a cinquenta milhões de reais por infração, bloqueio dos dados pessoais relacionados à infração até a regularização, eliminação dos dados pessoais, entre outras. A ANPD publicou regulamento de fiscalização e de aplicação de sanções que torna o processo administrativo mais previsível, mas as penalidades podem ser severamente agravadas quando a organização não demonstra boa-fé, transparência e adoção de medidas corretivas.