Voltar para conteúdos
LGPD

Vazamento de dados: o que sua empresa deve fazer nos primeiros 3 dias úteis para evitar sanções da ANPD

21 de maio de 20265 min de leituraLGPD

Vazamento de dados: o que sua empresa deve fazer nos primeiros 3 dias úteis para evitar sanções da ANPD

Meta description (154 caracteres): Vazamento de dados? Saiba o que fazer nos primeiros 3 dias úteis para cumprir a LGPD, notificar a ANPD e evitar multas de até R$ 50 milhões. Slug: vazamento-de-dados-3-dias-uteis-anpd Categoria: Segurança da Informação & LGPD

O relógio começa a correr no momento da descoberta

Pergunte ao seu time de TI, jurídico ou compliance: se um vazamento de dados pessoais for descoberto hoje, sua empresa saberia exatamente o que fazer nas próximas 72 horas?

Essa pergunta deixou de ser hipotética. A Autoridade Nacional de Proteção de Dados (ANPD), por meio da Resolução CD/ANPD nº 15/2024, fixou prazo de 3 dias úteis para a comunicação de incidentes de segurança relevantes envolvendo dados pessoais, contados da ciência pelo controlador. A regra se aplica a empresas privadas e órgãos públicos, vale para vazamentos por ataque cibernético, falha humana, perda de dispositivo, exfiltração e até para indisponibilidade prolongada de sistemas.

O custo do erro é alto. A LGPD prevê multas administrativas de até 2% do faturamento da pessoa jurídica no Brasil, limitadas a R$ 50 milhões por infração (art. 52, II), além de advertência, publicização, bloqueio de dados, suspensão e proibição de atividades de tratamento. E há outro elemento que costuma ser esquecido: até dezembro de 2024, a ANPD já contabilizava cerca de 40 processos de fiscalização em andamento, com foco em agentes de grande porte e operadores de dados em larga escala. Em 13 de dezembro de 2024, a Autoridade deflagrou processo de fiscalização que atinge 20 empresas de grande porte — entre elas ByteDance (TikTok), Telegram, Tinder, Uber, Telefônica (Vivo), X (Twitter), Dell, Latam, Serasa e BlueFit — por ausência de Encarregado ou de canal de comunicação adequado. Legishub + 3

Este artigo apresenta um roteiro técnico-jurídico do que sua empresa deve fazer nas primeiras 72 horas após descobrir um incidente de segurança com dados pessoais.

O que é incidente de segurança e quando comunicar

A Resolução CD/ANPD nº 15/2024 define incidente de segurança como "qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais".

Nem todo incidente exige comunicação. A obrigação surge quando o evento possa acarretar risco ou dano relevante aos titulares. A própria resolução lista critérios indicativos: envolvimento de dados sensíveis (saúde, biometria, origem racial, convicções), dados financeiros, dados de autenticação em sistemas, dados de crianças e adolescentes, dados tratados em larga escala ou potencial de fraude, discriminação e roubo de identidade.

Atenção: mesmo quando o incidente não atinge o limiar de notificação, ele deve ser registrado internamente com a análise fundamentada que justificou a decisão de não notificar. Esse registro deve ser mantido por, no mínimo, 5 anos e é a principal prova de diligência em uma eventual fiscalização.

Horas 0 a 24: contenção e avaliação inicial

Contenção imediata

A primeira providência, antes mesmo de envolver o jurídico, é técnica: isolar sistemas comprometidos, revogar credenciais, interromper o vetor de ataque, preservar logs e evidências. Quanto mais cedo a contenção, menor o impacto.

Comunicação interna ao Encarregado

O art. 5º, VIII da LGPD coloca o Encarregado (DPO) como canal central de comunicação. Operadores que detectarem o incidente devem comunicar o controlador "sem demora injustificada"; o controlador deve acionar imediatamente o Encarregado, que coordenará a resposta jurídica. Microservice

Acionamento do comitê de crise

Sugere-se a formação prévia (e não no calor da crise) de um comitê de resposta a incidentes, integrando jurídico/compliance, TI/segurança da informação, Encarregado, comunicação, recursos humanos e alta administração. Sem comitê pré-estruturado, os papéis se dispersam e o prazo de 3 dias úteis dificilmente é cumprido. Grant Thornton

Horas 24 a 72: análise de risco e notificação

Avaliação dos critérios de risco

Com a contenção em curso, o time precisa documentar respostas a perguntas-chave: quais dados foram afetados? Quantos titulares? Há dados sensíveis, financeiros, de crianças? Houve exfiltração efetiva ou apenas exposição? Há risco de fraude iminente? Essa análise é a base para decidir se o incidente atinge o limiar de notificação.

Comunicação à ANPD

A comunicação à ANPD é feita pelo sistema SEI da Autoridade. Atenção a um detalhe crítico: o cadastro de usuário externo no SEI/ANPD pode levar até 3 dias úteis para ser liberado — ou seja, deixar para fazer o cadastro durante a crise inviabiliza o cumprimento do prazo. O cadastro deve ser providenciado antes de qualquer incidente.

O conteúdo da comunicação à ANPD inclui: descrição da natureza do incidente; categorias e número de titulares afetados; descrição dos dados pessoais envolvidos; medidas técnicas de segurança adotadas antes e após o evento; riscos e potenciais impactos; medidas de mitigação; data da ocorrência (quando possível) e do conhecimento pelo controlador; e contato do Encarregado. PeticionaMais

Se não for possível reunir todas as informações no prazo de 3 dias úteis, é admitida comunicação preliminar, com o controlador tendo até 20 dias úteis adicionais para complementar. Agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022) contam com prazos em dobro.

Comunicação aos titulares

O art. 48, §1º da LGPD exige também a comunicação direta aos titulares afetados quando houver risco ou dano relevante. A comunicação deve ser feita em linguagem simples e individualizada sempre que possível, contendo: natureza dos dados afetados; possíveis impactos; medidas que o titular pode adotar para se proteger (trocar senhas, monitorar contas); medidas adotadas pela empresa; canal de contato do Encarregado. AMICOM

Quando a comunicação individualizada for inviável (grande número de titulares, dados de contato desatualizados), pode-se recorrer a comunicação coletiva — site oficial, redes sociais, comunicado à imprensa —, mantida por período mínimo definido em normas e diretrizes da ANPD.

Após o prazo: documentação, lições aprendidas e Relatório de Tratamento de Incidente

Cumpridos os primeiros 3 dias úteis, a obrigação continua. O controlador deve elaborar o Relatório de Tratamento de Incidente, que pode ser solicitado pela ANPD a qualquer momento, e deve revisar:

  • O Relatório de Impacto à Proteção de Dados (RIPD) das operações envolvidas, atualizando-o;

  • As medidas técnicas e organizacionais de segurança previstas no art. 46 da LGPD;

  • O Plano de Resposta a Incidentes, com lições aprendidas;

  • A política de retenção e descarte de dados, evitando reter mais do que o estritamente necessário.

A documentação é a melhor defesa. Em uma fiscalização posterior, a ANPD verifica se o controlador identificou o incidente em tempo razoável, se a avaliação de risco foi documentada, se a notificação foi tempestiva e completa e se as medidas corretivas foram efetivas.

Sanções: o que está em jogo

A primeira multa pecuniária da ANPD, aplicada em julho de 2023 à Telekall Infoservice, foi de R$ 14,4 mil — valor modesto, porém correspondente ao teto legal para o porte da empresa (2% do faturamento). Em 2025, a Deliberação CD/ANPD nº 10/2025 passou a prever multas diárias por descumprimento de medidas cautelares. E a ANPD impôs, no caso Tools for Humanity (Worldcoin), multa diária de R$ 50 mil pela retomada irregular da coleta de íris. ConvergenciaDigitalIstoÉ Dinheiro

Mais relevante do que olhar apenas para multas é entender que a Autoridade adota um conjunto crescente de sanções não pecuniárias — advertências, publicização, bloqueio, suspensão — que afetam diretamente a operação e a reputação da empresa. Soma-se a isso a responsabilidade civil objetiva prevista no art. 42 da LGPD. A 3ª Turma do Superior Tribunal de Justiça firmou em 2025 dois precedentes relevantes no tema: o REsp 2.121.904/SP, relatora ministra Nancy Andrighi, julgado em 11/2/2025, envolvendo vazamento de dados sensíveis de seguro de vida; e o REsp 2.201.694/SP, também de relatoria da ministra Nancy Andrighi, julgado em 5/8/2025, em que a Turma reconheceu que os danos "são presumidos, diante da forte sensação de insegurança" experimentada pela vítima — ampliando substancialmente o risco litigioso. Ek + 2

Conclusão

O prazo de 3 dias úteis da Resolução CD/ANPD nº 15/2024 não é flexível: é a régua usada pela ANPD para avaliar a diligência da empresa. Sem plano de resposta prévio, sem comitê de crise estruturado, sem cadastro no SEI da ANPD e sem Encarregado preparado, esse prazo é simplesmente inalcançável.

A boa notícia: a maior parte das medidas exigidas pode (e deve) ser implementada antes que qualquer incidente ocorra. Empresas que tratam segurança da informação como projeto contínuo de governança — e não como reação a crises — pagam menos, respondem melhor e demonstram a boa-fé que a ANPD considera como atenuante na dosimetria das sanções.

Sua empresa tem um plano de resposta a incidentes? Conhece seu nível de exposição à LGPD? Faça o diagnóstico gratuito com o Termômetro LGPD do escritório Felipe Piló Advogados Associados em felipepilo.com.br/diagnostico-lgpd. Para conversar sobre estruturação de governança em proteção de dados, entre em contato com nossa equipe em Belo Horizonte.

Este artigo tem caráter exclusivamente educativo e informativo. Não constitui consultoria jurídica. Para análise do caso concreto, consulte um advogado especializado.

Precisa de assessoria sobre este tema?

Nossa equipe de especialistas está pronta para auxiliar sua organização com soluções jurídicas estratégicas.

Falar pelo WhatsAppAgendar Consulta