pt flag
pt flag

Vazamento de Dados na Empresa: O Que Fazer nas Primeiras 72 Horas

Sua empresa sofreu um vazamento de dados? A LGPD exige notificação à ANPD em até 3 dias úteis. Saiba o que fazer e o que não fazer para evitar multas de até R$ 50 milhões.

4/22/20265 min ler

Person in hoodie typing code on computer screen.
Person in hoodie typing code on computer screen.

Você descobriu que dados dos seus clientes foram expostos. Um funcionário acessou informações que não devia ou compartilhou por acidente. Um ataque cibernético comprometeu seu sistema. O que fazer agora?

A resposta errada pode transformar um incidente técnico em um problema jurídico grave. A LGPD estabelece obrigações claras para empresas que passam por vazamentos de dados e ignorá-las pode resultar em multas de até R$ 50 milhões, além de processos judiciais movidos pelos próprios titulares afetados.

Este guia explica o que a lei exige, em que ordem agir e como se preparar antes que o problema aconteça.

O que é considerado um vazamento de dados pela LGPD?

A Resolução CD/ANPD nº 15/2024 define incidente de segurança como qualquer evento adverso confirmado que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais. Isso inclui:

  • Ataques de ransomware que bloqueiam ou expõem dados

  • Acesso não autorizado por funcionários ou ex-funcionários

  • Envio acidental de informações para destinatários errados

  • Perda ou roubo de dispositivos com dados armazenados

  • Falhas em sistemas que tornem dados acessíveis a terceiros

Nem todo incidente precisa ser notificado à ANPD. A obrigação surge quando o evento tem potencial de causar risco ou dano relevante aos titulares dos dados, especialmente quando envolvem dados sensíveis, dados financeiros, dados de crianças e adolescentes ou informações tratadas em larga escala.

O prazo que poucos conhecem: 3 dias úteis

Esse é o ponto em que mais empresas erram.

A partir do momento em que a empresa toma conhecimento de que o incidente afetou dados pessoais, o prazo para notificar a ANPD e os próprios titulares é de 3 dias úteis, conforme o artigo 6º da Resolução CD/ANPD nº 15/2024.

O prazo começa a contar da descoberta do incidente, não da conclusão da investigação interna. Ou seja, a empresa não pode esperar saber exatamente o que aconteceu para só então notificar. Se ainda não tiver todas as informações, pode enviar uma comunicação preliminar à ANPD e complementá-la em até 20 dias úteis.

Para empresas de pequeno porte, o prazo é contado em dobro.

A demora injustificada na notificação é, por si só, uma infração à LGPD e pode levar à abertura de processo administrativo sancionador.

O que comunicar à ANPD

A notificação não é uma formalidade genérica. O regulamento exige informações específicas, entre elas:

  • Descrição da natureza e categoria dos dados afetados

  • Número estimado de titulares afetados, identificando crianças, adolescentes ou idosos quando aplicável

  • Medidas de segurança existentes antes e depois do incidente

  • Riscos identificados e impactos possíveis sobre os titulares

  • Medidas adotadas ou planejadas para mitigar os efeitos

  • Data de ocorrência do incidente e data em que a empresa tomou conhecimento

  • Dados de contato do encarregado pelo tratamento de dados (DPO)

A comunicação deve ser feita pelo formulário eletrônico disponibilizado pela ANPD, por meio do encarregado ou de representante com poderes formais.

E os titulares dos dados? Eles também precisam ser avisados

Sim, e no mesmo prazo de 3 dias úteis.

A comunicação aos titulares deve ser feita de forma direta e individualizada: por e-mail, mensagem, telefone ou carta. Quando não for possível identificar todos os afetados, a empresa deve divulgar o incidente por meio de ampla comunicação pública, site, aplicativo, redes sociais ou canais de atendimento.

A transparência nesse momento é levada em conta pela ANPD na eventual dosimetria de sanções. Empresas que notificam voluntariamente e de forma cooperativa recebem tratamento diferenciado.

Quais são as consequências de não agir corretamente

A LGPD prevê sanções administrativas que vão de advertência a multa de até 2% do faturamento bruto anual, limitada a R$ 50 milhões por infração. As penalidades podem ser aplicadas de forma cumulativa.

Mas o risco não para aí. Nos casos envolvendo dados sensíveis, o STJ já reconheceu a responsabilidade objetiva da empresa e o dano moral presumido. Para dados não sensíveis, a jurisprudência ainda não é uniforme, mas a empresa que não comprovar a adoção de medidas adequadas de segurança dificilmente conseguirá afastar sua responsabilidade.

Em 2023, uma empresa foi condenada ao pagamento de R$ 20 milhões a título de dano moral coletivo após um vazamento que expôs dados de milhões de usuários. A decisão foi mantida pelo STJ.

O que fazer antes que o problema aconteça

Reagir bem a um vazamento depende quase inteiramente do que a empresa fez antes.

Empresas que já têm um plano de resposta a incidentes conseguem cumprir os prazos legais, minimizar os danos e documentar suas ações para apresentar à ANPD. As que não têm perdem tempo crítico tentando entender o que aconteceu enquanto o prazo corre.

Um plano de resposta a incidentes eficaz inclui:

  • Identificação de quem é responsável por tomar a decisão de notificar

  • Mapeamento dos dados tratados e das bases legais utilizadas

  • Definição dos canais de comunicação com titulares para situações de crise

  • Acesso ao formulário da ANPD e conhecimento do procedimento de peticionamento

  • Registro de todos os incidentes, mesmo os que não geram obrigação de notificação — esses registros devem ser mantidos por no mínimo 5 anos

Além disso, a empresa precisa ter um encarregado pelo tratamento de dados (DPO) designado formalmente. Sem ele, não há quem assine a comunicação à ANPD no prazo exigido.

Resumo: o que fazer nas primeiras 72 horas

Ao tomar conhecimento de um possível incidente com dados pessoais:

  1. Contenha o incidente — bloqueie acessos, isole sistemas comprometidos, preserve evidências

  2. Avalie o risco — os dados afetados podem causar dano relevante aos titulares?

  3. Acione o DPO e a assessoria jurídica — a decisão de notificar tem consequências legais e precisa ser tecnicamente fundamentada

  4. Notifique a ANPD — em até 3 dias úteis, pelo formulário eletrônico, mesmo que com informações parciais

  5. Comunique os titulares — de forma direta e individualizada no mesmo prazo

  6. Documente tudo — o processo completo de resposta ao incidente deve ser registrado

Quando acionar um advogado especializado

Nem sempre um vazamento significa o pagamento de indenização ou uma punição pela ANPD, mas isto depende muito também de como a empresa vinha agindo para evitar os incidentes. Havia políticas adequadas? A empresa adotava medidas de segurança? Os dados coletados eram somente os dados necessários? Se a empresa não estava cumprindo com normas básicas relacionadas a LGPD, o risco de punição é muito maior. Por isso o trabalho preventivo com um advogado especialista é bastante importante.

Além disso, a decisão de notificar ou não notificar a ANPD tem implicações jurídicas diretas. Notificar um incidente que não atinge o critério legal de risco ou dano relevante pode expor a empresa desnecessariamente. Não notificar um incidente que deveria ser comunicado é uma infração autônoma à LGPD.

Essa avaliação exige conhecimento técnico da lei e das resoluções da ANPD e deve ser feita com urgência, dentro do prazo.

Se sua empresa passou por um incidente de segurança envolvendo dados pessoais, o Reis Araujo Advogados pode ajudar na avaliação do caso, na comunicação à ANPD e na gestão jurídica do incidente. Entre em contato.

© 2024 Reis Araujo

+55 11939138445