O servidor travou de madrugada. De manhã a equipe de TI descobriu: tudo criptografado, bilhete eletrônico exigindo pagamento em criptomoeda. A empresa parou. O primeiro impulso foi chamar o fornecedor de backup. O segundo, negociar com os atacantes. Ninguém pensou em abrir a LGPD. Mas devia ter pensado, porque o relógio já estava correndo.
Ransomware é incidente de segurança. Incidente de segurança com dados pessoais é obrigação de comunicação à ANPD e aos titulares afetados. Não amanhã. Não depois que o TI terminar a análise. A contagem começa quando alguém da empresa toma conhecimento do ataque.
Ransomware é incidente LGPD. Ponto.
Muita empresa trata ataque de ransomware como problema de infraestrutura. Chama o TI, tenta restaurar o backup, começa a negociar. O que ninguém faz é abrir o art. 48 da Lei 13.709/2018 e ler o que está escrito: o controlador deve comunicar à ANPD e aos titulares qualquer incidente que possa acarretar risco ou dano relevante.
Ransomware preenche esse critério sem discussão. O atacante entrou nos seus sistemas. Acessou arquivos com dados pessoais de clientes, funcionários, fornecedores. Pode ter copiado tudo antes de criptografar. Mesmo sem saber ainda se houve exfiltração, o risco já existe, e risco relevante dispara a obrigação de comunicar.
Na prática, a empresa que ignora essa obrigação por achar que "foi só criptografia" está apostando alto. Se a ANPD abrir investigação depois, "a gente não sabia que tinha vazado" não é defesa. O ônus de demonstrar que os dados não foram acessados de forma indevida é da empresa, não do regulador.
Exfiltração ou só criptografia: a diferença que define sua urgência
Existem dois cenários que afetam diretamente o grau de urgência da resposta. No primeiro, o atacante só criptografou. Os dados continuam no seu servidor, inacessíveis pra você, mas não necessariamente copiados. O incidente LGPD existe e a comunicação à ANPD é obrigatória, mas o risco concreto ao titular é mais limitado.
No segundo, a dupla extorsão, que é o modelo dominante hoje: o grupo criminoso primeiro exfiltra os dados, depois criptografa. Ameaça publicar tudo se você não pagar. Aqui os dados pessoais de clientes e funcionários saíram da sua infraestrutura e estão em poder de criminosos. O risco de dano real é alto e a urgência é máxima.
O problema é que na primeira semana você quase nunca sabe em qual cenário está. Os logs podem ter sido apagados pelos próprios atacantes. O backup não registra o que saiu pela rede. A análise forense digital não é opcional: ela é parte obrigatória da resposta ao incidente, tanto pra fins operacionais quanto pra cumprir a LGPD.
Pagar o resgate: fácil agora, problemático depois
Nossa leitura é direta: pagar o resgate é antiético, tem eficácia limitada e cria risco jurídico real. Antiético porque financia o próximo ataque, que vai vitimar outra empresa, provavelmente menor. Com eficácia limitada porque parte relevante das empresas que pagam não recupera todos os dados ou sofre segundo ataque em seguida. Juridicamente arriscado porque, dependendo de quem está por trás do ransomware, o pagamento pode configurar transação com entidade sancionada internacionalmente.
A LGPD não proíbe explicitamente pagar. Mas a ANPD pode considerar essa escolha na avaliação do incidente. Você pagou e recuperou o acesso aos seus sistemas. Mas o criminoso ainda tem uma cópia. Os dados pessoais dos seus clientes e funcionários continuam em poder de terceiros não autorizados. O incidente não se encerra com o pagamento do resgate.
Falando sério: se você pagar e depois comunicar à ANPD, vai ter que explicar essa decisão. O regulador vai querer entender a sequência de eventos. Pagar antes de comunicar, sem sequer consultar o encarregado de dados, é o tipo de conduta que pesa no critério de boa-fé que a ANPD usa ao calcular a sanção.
O prazo é curto. E começa quando você soube, não quando o forense terminou.
O art. 48 da LGPD fala em "prazo razoável". A regulamentação da ANPD traduziu isso em números concretos: comunicação preliminar em 3 dias úteis da data em que o controlador tomou conhecimento do incidente, e comunicação complementar, com detalhamento técnico completo, em 20 dias úteis da mesma data.
Esses 3 dias correm da data em que a empresa soube. Não da data em que o forense confirmou. Não da data em que o jurídico aprovou o texto. Da data em que alguém na empresa ficou sabendo. O processo de triagem e decisão precisa acontecer em horas, não em dias.
Se você não tem DPO nomeado formalmente, o encarregado do art. 41, vai precisar designar alguém agora para assinar a comunicação. Funcionar sem encarregado já é infração autônoma. Descobrir isso no meio de um incidente é o pior momento pra regularizar.
O que colocar na comunicação preliminar à ANPD
A ANPD sabe que a investigação forense leva tempo. A comunicação preliminar não precisa ter todas as respostas. O que ela quer saber nos primeiros 3 dias úteis:
- Quando o incidente foi descoberto e qual a natureza do ataque.
- Que categorias de dados pessoais foram potencialmente afetadas: cliente, funcionário, dado sensível como saúde ou biometria (art. 5º, II).
- Número estimado de titulares afetados, mesmo que em faixa ampla.
- Que medidas a empresa já tomou até aquele momento.
- Nome e contato do encarregado de dados (DPO).
O formulário fica disponível na plataforma da ANPD. A responsabilidade é do controlador, ou seja, da empresa. Erro comum: achar que comunicar ao seguro cibernético substitui a comunicação à ANPD. Não substitui. São obrigações paralelas e independentes.
O que dizer pros titulares afetados, sem travar
Ninguém quer admitir que teve um ataque. Mas o art. 48 é claro: se o incidente puder causar risco ou dano relevante ao titular, ele precisa ser informado com conteúdo mínimo real, não um comunicado vago de "incidente de segurança".
O titular tem direito de saber: que tipo de dado seu foi afetado, qual o risco concreto pra ele, e o que ele pode fazer agora. Por exemplo: monitorar o CPF no Registrato do Banco Central, alterar senhas vinculadas ao e-mail afetado, acionar o banco se dados financeiros estiverem na lista.
O que não precisa ir na comunicação: quanto você pagou ao atacante, detalhes de investigação policial em andamento, dados técnicos que comprometam a apuração forense. Guarde evidência da comunicação. E-mail com confirmação de leitura, publicação no site, SMS. A ANPD pode pedir prova de que você efetivamente avisou os titulares.
O que fazer nas próximas 2 semanas, antes de precisar usar isso
Se o ataque já aconteceu: isole os sistemas afetados, acione análise forense digital, não pague antes de consultar especialista em segurança e jurídico, e inicie o processo de comunicação à ANPD dentro dos primeiros dias úteis. A Polícia Federal aceita registro de crimes cibernéticos, incluindo extorsão mediante ransomware.
Se o ataque ainda não chegou até você, use as próximas 2 semanas assim:
- Mapeie quais sistemas contêm dados pessoais e que tipo: clientes, funcionários, dados sensíveis como saúde ou biometria.
- Verifique se tem DPO formalmente nomeado e publicado (art. 41). Se não tem, nomeia agora.
- Crie ou revise o plano de resposta a incidentes com a cadência de comunicação à ANPD e aos titulares.
- Teste o backup. Não só se existe, mas se restaura. Backup que não restaura não é backup.
- Defina quem autoriza a comunicação à ANPD em regime de urgência. Se depender de pauta de diretoria, você vai perder os 3 dias úteis.
Ransomware não avisa antes de chegar. Mas a preparação decide se o incidente vai ser uma crise operacional ou uma crise operacional mais uma investigação da ANPD com multa de até 2% do faturamento da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração.
Fale com um advogado da RSA.
Diagnóstico objetivo em até 24h úteis.
