- O que conta como incidente de segurança (nem todo vazamento exige comunicação)
- Hora 0 a 24: contenção e mapeamento, antes de qualquer comunicação
- Hora 24 a 48: avaliação de risco e a decisão de comunicar (ou não)
- Hora 48 a 72: comunicação à ANPD e aos titulares com os 10 elementos obrigatórios
- O que ter pronto antes: porque depois é tarde
- Perguntas frequentes
- O incidente que resiste ao pior cenário
22h37 de uma sexta-feira. O sistema de monitoramento da empresa dispara um alerta: acesso não autorizado ao banco de dados de clientes, extração de aproximadamente 240 mil registros em 23 minutos. O analista de plantão liga para o responsável de segurança. Ele liga para o encarregado de dados, o DPO. O DPO liga para o CEO. O relógio começou. Mas quando, exatamente, e o que fazer nas próximas horas?
Como responder à ANPD depois de um vazamento é a pergunta que decide se a sua empresa sai de um incidente com multa reduzida ou com sanção agravada. E a primeira resposta que a maioria dos gestores dá está errada: “72 horas”. Se você já trabalhou com o GDPR europeu, esse número é automático. No Brasil ele não existe. A Resolução CD/ANPD nº 15, de 24 de abril de 2024 (arts. 6º e 9º) estabelece 3 dias úteis para comunicar o incidente à ANPD e aos titulares, não 72 horas corridas.
A diferença importa na prática. Sexta-feira à noite é fora do expediente, então a contagem só começa segunda-feira. O prazo real vai até quarta-feira à noite: são 5 dias corridos, não 3.
O termo “72 horas” vem do art. 33 do Regulamento (UE) 2016/679, o GDPR, que de fato usa esse prazo. No Brasil ele não se aplica, e confundir os dois tem consequência real: quem trabalha com o prazo mental de “72h corridas” tende a comunicar apressado, com informação ainda em investigação. Comunicação prematura mal fundamentada é problema tão sério quanto atraso. Gera pedido de complementação da ANPD e agrava a percepção institucional do incidente.
Acompanho ciclos de regulação corporativa desde antes da própria LGPD existir, e um padrão se repete a cada nova norma: o mercado adota o vocabulário de um caso estrangeiro antes de ler a letra da lei brasileira. Aconteceu com “compliance” nos anos 2000, está acontecendo agora com “72 horas”. O problema não é usar o termo popular, é agir sobre ele sem checar se ele se aplica ao seu país.
Este artigo é o protocolo, pensado tanto para quem coordena a resposta técnica quanto para o executivo que responde pelo incidente perante o conselho: o que efetivamente conta como incidente que exige comunicação, o que fazer no Dia 1 (contenção e mapeamento), no Dia 2 (avaliação de risco e decisão) e no Dia 3 (comunicação estruturada via SEI). E as 5 peças que precisam estar prontas antes do incidente, porque depois é tarde.
Resumo Executivo
- O prazo real não é 72 horas corridas: são 3 dias úteis para comunicar a ANPD e os titulares (Resolução CD/ANPD 15/2024, arts. 6º e 9º), podendo chegar a 5 dias corridos com fim de semana no meio.
- Só é obrigatório comunicar quando há gatilho de segurança (confidencialidade, integridade, disponibilidade ou autenticidade) somado a risco relevante ao titular (art. 5º).
- A comunicação exige 10 elementos obrigatórios (art. 6º, §5º) e é feita exclusivamente pelo SEI da ANPD, pelo encarregado ou representante legal com procuração.
- As 5 peças de preparação (PRI, CRI, forense em standby, templates, registro de operadores) levam de 30 a 90 dias para construir — precisam estar prontas antes do incidente, não durante os 3 dias úteis do prazo legal.
O que conta como incidente de segurança (nem todo vazamento exige comunicação)
Nem todo evento de segurança é um incidente que exige comunicação à ANPD. O dever de comunicar vem do art. 48 da LGPD, que falava apenas em “prazo razoável”, sem número. A Resolução CD/ANPD 15/2024, art. 5º, é quem finalmente fixou o critério objetivo: (a) evento que afete confidencialidade, integridade, disponibilidade ou autenticidade de dado pessoal, combinado com (b) possibilidade de risco ou dano relevante ao titular. Sem os dois, não há dever de comunicação, mas há dever de registro interno por 5 anos (art. 10).
Os 4 tipos de comprometimento
- Confidencialidade: dado exposto a quem não deveria ter acesso. Vazamento de banco de dados, e-mail para lista errada, indexação por buscador de página que deveria ser privada.
- Integridade: dado alterado sem autorização. Adulteração de registro em sistema, corrupção por malware.
- Disponibilidade: dado se torna inacessível quando deveria estar. Ransomware que criptografa banco de dados, indisponibilidade prolongada por ataque ou falha.
- Autenticidade: origem ou histórico do dado comprometido. Alteração de metadados de auditoria, apagamento de log de acesso.
Esses quatro tipos valem também para sistemas de IA em produção: dado sensível processado por modelo de IA generativa ou usado em treinamento segue o mesmo protocolo de comprometimento — com uma diferença crítica na contenção. Dado incorporado ao treinamento de um modelo não é removível da mesma forma que um registro de banco de dados; a mitigação pode exigir descontinuar ou retreinar o modelo, não apenas revogar credencial ou corrigir permissão, questão aprofundada em o Marco Legal da IA e a interseção com dado pessoal sensível. Canais de atendimento automatizado concentram volume alto de dado pessoal em um único ponto de falha — os riscos LGPD em atendimento via WhatsApp merecem o mesmo mapeamento de escopo descrito aqui.
O que caracteriza risco ou dano relevante ao titular
A Resolução 15/2024 lista situações que costumam configurar risco relevante: dados sensíveis (art. 5º, II da LGPD: origem racial, convicção religiosa, opinião política, filiação sindical, convicção filosófica, saúde, vida sexual, dado genético ou biométrico), dados de crianças, adolescentes ou idosos, dados financeiros, dados de autenticação (senhas, tokens, credenciais), dados protegidos por sigilo legal ou profissional, tratamento em larga escala, e situações que comprometam o exercício de direitos, a integridade física ou a dignidade do titular.
Os critérios de alto risco da Resolução CD/ANPD 2/2022 (art. 4º), editada originalmente para agentes de pequeno porte, funcionam hoje como parâmetro complementar amplo para essa mesma análise.
O ataque de ransomware às Lojas Renner, em 19 de agosto de 2021, é o exemplo canônico da combinação dos dois critérios: comprometimento de disponibilidade (aproximadamente 1.300 servidores criptografados) somado a risco relevante por larga escala e dados operacionais e financeiros. Situação manual de incidente que exige comunicação. A Renner, aliás, comunicou fato relevante à CVM em 24 horas, decisão que se tornou referência de transparência corporativa em cenário de incidente.
Quando não precisa comunicar (mas precisa registrar)
O registro interno por 5 anos é obrigatório mesmo para incidentes não comunicados (art. 10 da Resolução 15/2024). Não se comunica quando o dado afetado não é pessoal, quando há gatilho de segurança sem risco relevante (exposição limitada de dado já público, por exemplo), ou quando o incidente foi contido antes de qualquer exposição real, como tentativa bloqueada por MFA sem credencial efetivamente comprometida.
Em todos esses casos, o registro com justificativa da não comunicação (art. 10, §1º, VIII) é a evidência de que a decisão foi ponderada, não omitida: o mesmo tipo de instrumento de accountability que sustenta o RIPD como prestação de contas em outras frentes da lei.
Hora 0 a 24: contenção e mapeamento, antes de qualquer comunicação
As primeiras 24 horas têm dois objetivos: conter o incidente para impedir agravamento e mapear o escopo real. Comunicar à ANPD ainda não é prioridade, não porque não importa, mas porque comunicar sem escopo mapeado é o caminho mais curto para a comunicação prematura mal fundamentada.
Acionamento (0h a 6h)
O sistema de monitoramento (SIEM, que correlaciona logs de toda a rede, ou EDR, que monitora comportamento anômalo em endpoints) dispara o alerta. O time de segurança valida, o CISO é acionado, o DPO é acionado, o CEO entra dependendo da gravidade preliminar. Desde o primeiro alerta, tudo precisa de registro cronológico com marcação de horário: hora do alerta, hora de cada acionamento, decisões tomadas, evidências preservadas. Esse registro é a base da comunicação futura e de eventual defesa em fiscalização.
O Comitê de Resposta a Incidente (CRI), que deve estar pré-formado e não montado sob pressão, é acionado nesse momento: CISO, DPO/encarregado, jurídico interno, comunicação, TI operacional, área de negócio afetada, sponsor executivo. Se o dado vazado estava com um operador (processor), a obrigação dele é informar “sem demora injustificada” ao controlador (art. 4º da Resolução 15/2024), não comunicar diretamente à ANPD. Só o encarregado ou representante legal com procuração pode peticionar formalmente, o mesmo critério que define quem responde pela empresa perante a ANPD em qualquer frente da lei.
Contenção técnica (6h a 12h)
Isolamento de sistemas afetados, bloqueio de credenciais comprometidas, revogação de tokens, segmentação de rede. Empresas que já adotam arquitetura Zero Trust tendem a limitar o escopo do incidente nesta etapa, porque a microssegmentação já reduz o raio de movimentação lateral do atacante.
Em paralelo, preservação de evidência (imagens forenses, logs intactos, tráfego de rede capturado) e análise forense preliminar, frequentemente feita por consultoria externa que deveria estar contratada em regime de standby antes do incidente, não negociada durante ele. Atenção à ordem de volatilidade da evidência: isolar um host desligando-o antes de capturar a memória RAM destrói dados voláteis que podem conter chaves de criptografia, processos maliciosos ativos e conexões de rede do atacante — a captura de memória, quando possível, deve preceder o desligamento físico.
Mapeamento do escopo (12h a 24h)
Três perguntas orientam esta etapa: quais dados foram efetivamente afetados (categorias, volume, número aproximado de titulares); quais titulares, segmentados por perfil (clientes, colaboradores, terceiros, menores); e se houve vazamento real, dado comprovadamente exfiltrado, ou apenas exposição hipotética, sem evidência de exploração. Sem esse mapeamento, qualquer comunicação à ANPD é fantasia.
O que não fazer nas primeiras 24 horas: comunicar à ANPD sem escopo mapeado; comunicar aos titulares antes de ter estratégia de comunicação definida; fazer declarações públicas antes da avaliação de risco; apagar logs ou sistemas, mesmo com intenção de “limpar” o ambiente, o que pode configurar obstrução.
Hora 24 a 48: avaliação de risco e a decisão de comunicar (ou não)
A partir do segundo dia útil, a decisão central é: este incidente exige comunicação à ANPD e aos titulares (art. 5º da Resolução 15/2024)? A resposta exige análise de risco documentada, não intuição. E a documentação da decisão vale tanto quanto a comunicação em si, porque em fiscalização a ANPD verifica como a empresa decidiu, não só o quê.
O mapeamento inicial é revisado com dados forenses mais completos. Os critérios do art. 5º são checados um a um: dados sensíveis, crianças, adolescentes ou idosos, dados financeiros, credenciais, sigilo, larga escala. Basta um “sim” para configurar risco relevante. Cenários intermediários, como vazamento pequeno de dado sensível ou vazamento grande de dado apenas identificatório sem exposição a fraude, exigem ponderação documentada em ata do CRI, com manifestação escrita do encarregado, que tem papel formal nessa avaliação.
| Cenário | Decisão | Documentação necessária |
|---|---|---|
| Gatilho + risco relevante confirmado | Comunicar à ANPD e aos titulares em 3 dias úteis | Os 10 elementos do art. 6º, §5º da Resolução (ver seção seguinte) |
| Gatilho + informação parcial, ainda em investigação | Comunicação preliminar em 3 dias úteis; complementação em até 20 dias úteis | O que já se sabe, cronograma de investigação, marco de complementação |
| Gatilho + sem risco relevante | Não comunicar; registrar decisão justificada | Registro do art. 10 com motivo detalhado da não comunicação |
| Sem gatilho de segurança | Não comunicar; registrar como evento não caracterizado como incidente | Registro interno, como boa prática |
O canal SEI da ANPD
A comunicação é feita exclusivamente pelo Sistema Eletrônico de Informações (SEI) da ANPD, tipo de processo “Comunicados de Incidentes à Agência Nacional de Proteção de Dados”, com formulário preliminar ou completo e documentos comprobatórios (ato de designação do encarregado, procuração, atos constitutivos) anexados como documentos complementares.
Só peticiona quem tem vínculo comprovado com a empresa: encarregado ou representante legal com procuração. Dúvidas vão para [email protected], canal da Coordenação de Tratamento de Incidentes de Segurança (CTIS/CGIS). Desde 1º de agosto de 2024, o SEI tem Módulo de Pesquisa Pública, o que pede atenção redobrada à classificação de acesso de cada documento peticionado. O Manual do SEI da ANPD detalha o passo a passo de peticionamento externo.
Estratégia de comunicação aos titulares
Canal individual sempre que possível: e-mail direto, notificação em aplicativo, mensagem no canal oficial. Linguagem clara, sem jargão jurídico: o que aconteceu, quais dados foram afetados, o que a empresa está fazendo, o que o titular pode fazer para se proteger, contato do DPO. Se a comunicação individual não for viável, publicação em site oficial e imprensa de grande circulação, já que a ANPD pode determinar ampla divulgação.
Para titulares vulneráveis — crianças, idosos, pessoas com deficiência ou sem acesso digital regular — canal exclusivamente digital pode não cumprir a finalidade da comunicação. Ligação telefônica, carta ou contato através de responsável legal são alternativas que evitam que o grupo já identificado como de maior risco (elemento 2 dos 10 obrigatórios, adiante) seja também o menos informado sobre o próprio incidente.
Recomendações práticas ao titular (trocar senha, monitorar cartão, ativar MFA) são boa prática expressa na Resolução e também viram elemento de ponderação em eventual dosimetria de sanção. A comunicação da empresa não substitui os direitos do titular: ele pode apresentar denúncia diretamente à ANPD e buscar reparação civil por dano material ou moral decorrente do incidente (art. 42 da LGPD), independentemente de já ter sido comunicado pelo controlador.
Hora 48 a 72: comunicação à ANPD e aos titulares com os 10 elementos obrigatórios
O art. 6º, §5º da Resolução CD/ANPD 15/2024 lista o conteúdo obrigatório da comunicação. Comunicação com dados omitidos ou vagos é comunicação incompleta, e pode ser tratada como descumprimento.
| Elemento | Detalhamento |
|---|---|
| 1. Natureza e categoria dos dados | Categorias afetadas (identificação, financeiro, sensível, autenticação) e tipo específico de cada uma |
| 2. Número de titulares afetados | Total estimado, com destaque para crianças, adolescentes ou idosos quando aplicável |
| 3. Medidas antes do incidente | Controles preventivos ativos (MFA, EDR, criptografia, segmentação), respeitado o sigilo comercial |
| 4. Medidas após o incidente | Contenção, correção, reforço de controles, mudanças de arquitetura |
| 5. Riscos relacionados | Possíveis impactos aos titulares: fraude, discriminação, exposição, exercício de direitos comprometido |
| 6. Motivo de atraso, se houver | Justificativa objetiva quando a comunicação ultrapassa os 3 dias úteis |
| 7. Medidas de mitigação aos titulares | Reset de credenciais, monitoramento, canal de suporte, proteção contra fraude |
| 8. Datas do incidente e do conhecimento | Duas datas distintas: a mais frequentemente confundida na prática |
| 9. Contato do encarregado | Nome, telefone, e-mail funcional |
| 10. Identificação do controlador | Razão social, CNPJ, endereço, dados institucionais |
Comunicação preliminar vs. completa
Se ao fim dos 3 dias úteis a empresa ainda não tem todas as informações, a comunicação preliminar é permitida (art. 6º, §4º), com complementação em até 20 dias úteis (art. 6º, §7º, prazo maior que os 30 dias corridos da regra anterior). A preliminar precisa ter substância: “identificamos um incidente, estamos investigando” sem qualquer informação útil pode ser tratada como não comunicação.
O controlador pode ainda solicitar confidencialidade de trechos específicos que envolvam sigilo comercial ou industrial (art. 6º, §8º). Atenção redobrada aqui, já que o Módulo de Pesquisa Pública do SEI ampliou a visibilidade de documentos peticionados a partir de agosto de 2024.
Se a comunicação for insuficiente, inadequada ou inexistente, a Resolução dá à ANPD poderes específicos: determinar a comunicação, exigir salvaguardas adicionais, determinar ampla divulgação do incidente ou instaurar procedimento de fiscalização e auditoria (arts. 17 a 19). Comunicação malfeita, portanto, não encerra o risco regulatório — pode abri-lo.
O pano de fundo regulatório explica por que as próximas 5 peças deixaram de ser burocracia e viraram risco real. Em julho de 2023, a ANPD aplicou sua primeira multa a uma empresa privada, a microempresa Telekall, marco do fim da fase puramente educativa da autoridade.
Em 13 de dezembro de 2024, a ANPD instaurou processo de fiscalização contra 20 empresas de grande porte, sob coordenação de Fabrício Lopes, Coordenador-Geral de Fiscalização. Todas se adequaram até abril de 2025.
Em paralelo, decisões contra órgãos públicos em 2024, isentos de multa pecuniária pelo art. 52, §4º da LGPD mas sujeitos a sanções não pecuniárias, passaram a servir de parâmetro de gravidade também para empresas privadas, segundo retrospectiva da Mayer Brown sobre o primeiro ano de decisões da autoridade (jan/2025).
Análises técnicas da PDK Advogados registram que a ANPD recomendava informalmente 2 dias úteis antes de a Resolução 15/2024 ampliar o prazo para 3. A Serpro detalha o fluxo diferenciado entre operador e controlador na comunicação (art. 4º da Resolução). E comentários da Barbieri Advogados sobre a dosimetria do art. 52 reforçam que porte, setor ou notoriedade não funcionam como imunidade. No início de 2026, a conversão da ANPD em Agência Nacional, com autonomia financeira e quadro próprio de 200 especialistas, reforça ainda mais essa capacidade de fiscalização.
O que ter pronto antes: porque depois é tarde
Empresa que só descobre que precisa de plano de resposta a incidente no dia do incidente já perdeu. As 5 peças abaixo levam de 30 a 90 dias para ser construídas com qualidade: não podem ser improvisadas em 3 dias úteis.
Plano de Resposta a Incidente (PRI) documentado e testado. Composição do CRI, matriz de acionamento, fluxograma de decisão de comunicação, templates de comunicação. Testado em tabletop exercise ao menos uma vez ao ano.
- Comitê de Resposta a Incidente formalmente instituído. CISO, DPO/encarregado, jurídico, comunicação, TI operacional, negócio afetado, sponsor executivo, com suplentes e ata de instituição que deixe clara a autoridade decisória.
- Consultoria forense externa em regime de standby. Contrato pré-assinado com empresa de resposta a incidente, com SLA de acionamento em horas. Sem isso, o CISO gasta horas críticas do Dia 1 negociando contrato emergencial em vez de conter o incidente.
- Templates de comunicação pré-aprovados. Estrutura da comunicação à ANPD via SEI com os 10 elementos já organizados, template de comunicação aos titulares em linguagem clara, e release de imprensa, todos revisados por jurídico e comunicação antes do primeiro incidente, não durante ele.
- Registro atualizado de operadores. Lista de operadores com quem a empresa compartilha dado pessoal, contato do DPO de cada um e SLA contratual de notificação. Se a empresa é operadora, os canais formais com cada controlador também entram nesse registro.
Empresa com as 5 peças documentadas e testadas responde em 3 dias úteis com comunicação de qualidade. Empresa com apenas uma ou duas vai improvisar sob pressão, e é justamente esse improviso que o padrão de decisões da ANPD em 2024 e 2025 aponta como agravante: falta de cooperação do agente de tratamento e deficiência na comunicação com titulares aparecem como os dois vetores mais recorrentes em sanções, segundo a mesma retrospectiva da Mayer Brown.
Perguntas frequentes
Não. A Resolução CD/ANPD 15/2024 (arts. 6º e 9º) estabelece 3 dias úteis, não 72 horas corridas. O termo “72 horas” vem do art. 33 do GDPR europeu e não se aplica no Brasil. Na prática, com um fim de semana no meio, o prazo pode chegar a 5 dias corridos.
Não. A comunicação só é obrigatória quando há gatilho de segurança (confidencialidade, integridade, disponibilidade ou autenticidade comprometidas) somado a risco ou dano relevante ao titular (art. 5º da Resolução 15/2024). Sem os dois, não há dever de comunicar a ANPD, mas o registro interno por 5 anos continua obrigatório (art. 10).
Os 10 elementos do art. 6º, §5º: natureza e categoria dos dados, número de titulares, medidas antes e depois do incidente, riscos relacionados, motivo de atraso (se houver), medidas de mitigação, datas do incidente e do conhecimento, contato do encarregado e identificação do controlador.
Só o encarregado (DPO) da empresa ou um representante legal com procuração pode peticionar formalmente pelo SEI da ANPD. Se o dado vazado estava com um operador (processor), a obrigação dele é informar o controlador sem demora injustificada — não comunicar diretamente à ANPD (art. 4º da Resolução 15/2024).
Sim, quando não há gatilho de segurança, quando há gatilho sem risco relevante, ou quando o incidente foi contido antes de qualquer exposição real. Nesses casos, o registro interno com justificativa da não comunicação (art. 10, §1º, VIII) é obrigatório e funciona como evidência de que a decisão foi ponderada, não omitida.
O incidente que resiste ao pior cenário
O prazo real é 3 dias úteis, Resolução CD/ANPD 15/2024, arts. 6º e 9º, não 72 horas corridas. Incidente comunicável exige gatilho de segurança mais risco relevante ao titular. Dia 1 é contenção e mapeamento. Dia 2 é avaliação de risco e decisão, documentada. Dia 3 é comunicação estruturada via SEI, com os 10 elementos do art. 6º, §5º. E as 5 peças (PRI – Plano de Resposta a Incidentes documentado, CRI – Comitê de Resposta a Incidentes instituído, perito forense em standby, templates pré-aprovados, registro de operadores) precisam estar prontas antes, não durante.
Caminho operacional para quem ainda não tem isso montado: instituir o CRI nos próximos 30 dias, contratar perito forense externo em standby nos próximos 60, elaborar o PRI documentado nos próximos 90, fazer o primeiro “Simulado de Crise” nos próximos 6 meses e revisar os templates de comunicação com jurídico e comunicação nos próximos 3 meses. Esse roteiro se conecta ao restante da adequação da empresa descrita no guia operacional de LGPD na prática da Mabex.
Incidente não é se, é quando. Empresa preparada comunica em 3 dias úteis com informação sólida, demonstra cooperação e reduz a exposição sancionatória. Empresa improvisada perde o controle da narrativa em horas, e a ANPD, hoje Agência Nacional com autonomia financeira e quadro próprio de especialistas, tem tomado nota de quem improvisa.



