Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

As 48 horas que separam um incidente controlado de uma multa da ANPD

Alguém acessou o banco sem permissão. O servidor caiu às 23h. Uma planilha com dados de clientes apareceu em fórum aberto. Nesses momentos, a empresa tem uma janela curtíssima para agir: o que ela faz nas primeiras 48 horas determina se o incidente vira multa da ANPD ou nota de rodapé no relatório de segurança.

As 48 horas que separam um incidente controlado de uma multa da ANPD
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

A gente recebe essa ligação às vezes. "Apareceu uma planilha com dados de clientes num grupo de Telegram. O que a gente faz?" Ou: "O servidor travou e o TI acha que teve acesso não autorizado." A pergunta é sempre a mesma. A resposta tem uma sequência.

A LGPD tem obrigações específicas depois de um incidente de segurança. A ANPD tem orientações publicadas. O que falta é saber o que fazer primeiro, nos primeiros momentos, quando tudo está confuso e a pressão é máxima.

Hora 1: Para Tudo, Preserva, Documenta

A tentação é deletar, sobrescrever, "limpar" o ambiente afetado. Não faz isso. Evidência destruída é passivo jurídico duplo: você perde a capacidade de entender o que aconteceu e ainda aparece como quem tentou esconder. Antes de qualquer ação técnica, registra.

O que preservar imediatamente:

  • Logs de acesso do servidor e do banco de dados (não rotacione, não apague)
  • Screenshot ou export do sistema exatamente no estado atual
  • E-mails, tickets e alertas automáticos que indicaram o problema pela primeira vez
  • Nome de quem descobriu, horário exato e como descobriu
  • Versão do software, nível de patch e configuração de firewall vigente no momento

Tudo vai para um documento datado, com hora. Esse documento se torna a base do relatório de incidente que o art. 48 da LGPD pressupõe. Começa agora, não depois que o susto passar.

Contenção: Fecha a Porta Antes de Avaliar o Estrago

Identificar o vetor de ataque e bloqueá-lo é a primeira prioridade técnica. Isola o sistema afetado da rede, revoga credenciais comprometidas, força troca de senha em todas as contas com acesso ao ambiente impactado. Não espera confirmação do vetor. Fecha primeiro, investiga depois.

Se houver terceiro prestando serviço de TI ou cloud, aciona agora. Se não houver especialista de segurança próprio, esse é o momento de contratar análise forense externa. O custo fica em torno de R$ 5.000 a R$ 20.000 dependendo do escopo. A multa da ANPD pode chegar a 2% do faturamento bruto no Brasil no último exercício, limitada a R$ 50 milhões por infração. A conta não fecha a favor de economizar na perícia.

Na prática: contenção e forense andam juntas. Você não consegue entender o que aconteceu sem primeiro parar de acontecer.

Nem Todo Incidente Obriga Notificação à ANPD

Esse ponto gera muita confusão. O art. 48 da LGPD diz que o controlador deve comunicar o incidente à ANPD e aos titulares quando ele "possa acarretar risco ou dano relevante". A palavra-chave é "relevante". Não é qualquer falha técnica que dispara a obrigação.

A ANPD considera risco relevante quando o incidente envolve:

  • Dados pessoais sensíveis: saúde, biometria, religião, vida sexual, origem racial (art. 5º, II da LGPD)
  • Dados de crianças e adolescentes
  • Dados financeiros ou de autenticação (senhas, tokens de acesso)
  • Volume expressivo de titulares afetados
  • Dados que permitam fraude ou dano imediato ao titular

Vazou nome e e-mail de 5 pessoas em sistema interno sem saída externa? Provavelmente sem obrigação de notificar. Vazou CPF, data de nascimento e endereço de 3.000 clientes para servidor não autorizado? Notifica. A decisão é da empresa, mas ela precisa estar documentada e justificada, seja qual for o caminho escolhido.

Notificar a ANPD: Prazo, Canal e o Que Dizer

A LGPD usa a expressão "prazo razoável" no art. 48. A ANPD esclareceu em suas orientações que isso significa notificação preliminar em até 3 dias úteis após o conhecimento do incidente. Não da data em que aconteceu. Da data em que você descobriu que aconteceu.

A notificação preliminar é feita pelo portal da ANPD. O que você precisa ter em mãos:

  • Descrição do incidente: o que aconteceu, como e quando
  • Natureza dos dados afetados (categoria e tipo)
  • Número estimado de titulares afetados
  • Medidas de contenção já adotadas até o momento
  • Contato do encarregado (DPO) da empresa

Na notificação preliminar, você não precisa ter todas as respostas. A ANPD aceita incerteza inicial, desde que você demonstre que está agindo. O que ela não aceita é silêncio. Depois da preliminar, há prazo para envio do relatório completo. Se a empresa não tiver encarregado formalmente nomeado, esse problema começa antes do incidente, e você vai sentir exatamente aqui.

Avisar os Titulares: Quando, Como e o Que Não Fazer

A comunicação aos titulares segue os mesmos critérios de risco relevante do art. 48. Quando aplicável, precisa ser direta. Nada de nota genérica enterrada no rodapé do site ou comunicado de imprensa que não chega ao titular afetado.

O que a comunicação ao titular deve conter:

  • O que aconteceu, em linguagem simples, sem juridiquês
  • Quais dados foram afetados especificamente
  • O risco concreto para a pessoa: fraude, phishing, roubo de identidade
  • O que a empresa já fez para conter o problema
  • O que o titular pode fazer para se proteger (trocar senha, monitorar CPF no Serasa)
  • Canal de contato para dúvidas, com prazo de resposta de 15 dias (art. 19 da LGPD)

Não delega para assessoria de imprensa. Comunicado de imprensa é outra coisa. Aviso ao titular é obrigação legal com conteúdo mínimo definido. E-mail individual com aviso de leitura é o canal preferível. Sem e-mail cadastrado, SMS. Sem nenhum contato direto, consulta à ANPD sobre canal alternativo.

Gestão Interna: Quem Sabe e o Que Pode Dizer

Enquanto a crise acontece, o vazamento de informação dentro da empresa é tão perigoso quanto o externo. Funcionários bem-intencionados postam no grupo de WhatsApp da equipe, ligam para fornecedores, mandam print para amigos. Isso destrói evidência, pode alertar o agente malicioso e gera exposição prematura antes que você tenha controle da narrativa.

A célula de resposta ao incidente deve ser pequena: CEO ou dono, responsável de TI, encarregado de dados e advogado. Mais ninguém até ter clareza do que aconteceu. O script para o restante da equipe é um só: "Estamos apurando um problema técnico. Não forneça informações a nenhuma pessoa externa até comunicado formal."

Falando sério: a maioria das violações secundárias em incidentes acontece por funcionário que falou mais do que devia. Contenção de informação é parte do protocolo, não excesso de cautela.

O Que Fazer nos Próximos 14 Dias

As 48 horas passaram. Incidente contido. Notificação preliminar enviada se necessário. Agora vem o trabalho menos urgente, mas igualmente obrigatório para fechar o ciclo corretamente.

O que precisa acontecer até o 14º dia:

  • Relatório de incidente completo: cronologia, causa raiz, dados afetados e ações tomadas
  • Complementação da notificação à ANPD (se a preliminar foi enviada)
  • Revisão dos contratos com operadores de dados (quem hospeda, quem processa): corresponsabilidade pode surgir aqui
  • Verificação de cobertura de seguro cyber, se a empresa tiver apólice
  • Avaliação jurídica de exposição a ações de indenização por parte dos titulares afetados
  • Atualização do Relatório de Impacto à Proteção de Dados (RIPD) quando o incidente envolver dados sensíveis

A partir do dia 15, começa a revisão do programa de segurança. Não só para corrigir o vetor que foi explorado, mas para mapear os outros que você ainda não conhece. Incidente sem revisão estruturada é incidente que se repete.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →