Multas e ANPD

Vazamento de dados e LGPD: o que fazer nas primeiras 72 horas

Um incidente de segurança que envolve dados pessoais ativa obrigações imediatas da LGPD. Conheça o protocolo de resposta, o prazo de notificação à ANPD e como documentar cada etapa.

M
MHSLGPD
23 de maio de 2026 · 4 min de leitura

Um incidente de dados pessoais — vazamento, acesso não autorizado, ransomware, envio de dados para destinatário errado — ativa obrigações específicas da LGPD. A lei exige notificação à ANPD e, quando aplicável, comunicação aos titulares afetados. A maioria das empresas não tem protocolo definido para isso e improvisa sob pressão — o pior momento possível para improvisar.

Este artigo apresenta o protocolo de resposta a incidentes de dados pessoais, com foco nas primeiras 72 horas e nos requisitos legais.

O que diz a LGPD sobre incidentes

O Art. 48 da LGPD determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. O prazo e o formato foram detalhados pela ANPD na Resolução CD/ANPD nº 15/2024.

Pontos-chave da regulamentação:

  • O prazo de notificação à ANPD é de até 3 dias úteis após a ciência do incidente (quando classificado como de risco alto ou muito alto);
  • A comunicação inicial pode ser preliminar — complementada por relatório completo em até 20 dias úteis;
  • A notificação deve ser feita pelo canal oficial da ANPD (peticionamento eletrônico);
  • Incidentes de risco baixo ou moderado precisam ser documentados internamente, mas não notificados imediatamente.

Como classificar a gravidade do incidente

Nem todo incidente precisa de notificação imediata à ANPD. A ANPD classifica em quatro níveis:

  • Muito alto: dados sensíveis (saúde, biometria, financeiros completos) de grande volume, ou incidente que afete infraestrutura crítica;
  • Alto: dados pessoais simples de volume relevante, com risco real de dano aos titulares (fraude, discriminação);
  • Moderado: dados pessoais simples, volume limitado, risco controlável;
  • Baixo: dado isolado, titular identificado, sem indício de uso malicioso.

Incidentes muito altos e altos exigem notificação no prazo de 3 dias úteis.

As primeiras 72 horas: o que fazer

Hora 0-4: Contenção e preservação de evidências

  • Isole o sistema afetado — desconecte da rede se necessário, sem desligar (preserva logs);
  • Identifique o vetor de ataque (phishing, vulnerabilidade, acesso indevido interno, erro humano);
  • Preserve logs, capturas de tela e evidências — não formate, não exclua;
  • Acione o time de TI e o DPO imediatamente;
  • Documente hora e data da ciência do incidente (isso inicia o prazo legal).

Hora 4-24: Avaliação e classificação

  • Identifique quais dados foram afetados — categorias, quantidade estimada de titulares, sensibilidade;
  • Avalie se há indícios de exfiltração (dados saíram) ou apenas acesso (dados foram vistos);
  • Classifique a gravidade seguindo os critérios da ANPD;
  • Se for alto ou muito alto: inicie a preparação da notificação à ANPD;
  • Envolva o jurídico — especialmente se houver risco de processos ou responsabilidade civil.

Hora 24-72: Notificação e comunicação

  • Submeta a notificação preliminar à ANPD pelo sistema de peticionamento (gov.br);
  • Determine se os titulares afetados precisam ser comunicados — a ANPD pode exigir isso;
  • Prepare a comunicação aos titulares: clara, sem jargão técnico, explicando o que aconteceu, quais dados foram afetados e o que a empresa está fazendo;
  • Continue a investigação para o relatório completo (due em 20 dias úteis).

O que a notificação à ANPD deve conter

A notificação preliminar inclui:

  • Data e hora da ciência do incidente;
  • Descrição do incidente (o que ocorreu, como foi descoberto);
  • Categorias e volume estimado de dados afetados;
  • Categorias e número estimado de titulares afetados;
  • Dados de contato do DPO;
  • Medidas de contenção já adotadas;
  • Avaliação preliminar de gravidade;
  • Se os titulares já foram ou serão comunicados.

Comunicação aos titulares: como fazer certo

Se a ANPD determinar (ou se a empresa avaliar necessário), a comunicação aos titulares deve:

  • Ser clara e direta — evite linguagem jurídica que confunde;
  • Explicar o que aconteceu, quais dados foram envolvidos e o que isso pode significar para o titular;
  • Informar o que a empresa já fez e o que ainda vai fazer;
  • Fornecer canal de contato para dúvidas (nome e e-mail do DPO);
  • Não minimizar nem dramatizar — equilíbrio gera confiança.

Prevenção: o que ter antes do incidente

A melhor gestão de incidente é aquela que começa antes do incidente. Tenha:

  • Plano de resposta a incidentes documentado e revisado anualmente;
  • Time de resposta designado (TI + DPO + Jurídico + Comunicação);
  • Processo de escalonamento claro;
  • Contato do peticionamento da ANPD salvo e acessível;
  • Backups testados e segregados da rede principal.

Conclusão

Um vazamento de dados mal gerenciado transforma um problema técnico em crise reputacional e regulatória. Com protocolo definido, o time age com eficiência sob pressão — e demonstra à ANPD que a empresa leva a sério a proteção de dados. Invista na prevenção e, se o incidente ocorrer, aja rápido, documente tudo e comunique com transparência.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

Multas da ANPD: o que toda empresa precisa saber em 2026
A ANPD acelerou as multas em 2024-2025. Conheça os casos mais relevantes, os critérios de dosimetria do Art. 52 da LGPD e como prevenir sanções.
MHSLGPD · 10 de março de 2026