A Lei Geral de Protecao de Dados (Lei 13.709/2018) estabelece que qualquer empresa que sofra incidente de segurança com dados pessoais deve notificar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoavelmente breve — interpretado pela jurisprudência da ANPD como até 72 horas após o conhecimento do incidente.
Não cumprir esse prazo, ou cumprir mal, agrava sanções administrativas que podem chegar a R$ 50 milhões ou 2% do faturamento.
Esse artigo mostra exatamente o que fazer nas 72 horas seguintes à descoberta de um incidente.
O que conta como "incidente de segurança"
A LGPD não define com precisão, mas a ANPD orienta que qualquer dos seguintes eventos se enquadra:
- Vazamento de dados — acesso não-autorizado a dados pessoais por terceiros
- Alteração indevida — modificação não-autorizada de registros
- Perda de dados — exclusão acidental sem backup recuperável
- Indisponibilidade — sistema fora do ar impedindo titulares de exercerem direitos
- Ataque ransomware — mesmo se você pagar e recuperar, conta como incidente
- Phishing bem-sucedido — funcionário caiu em fraude que comprometeu credencial com acesso a dados
Não conta como incidente: tentativa bloqueada de invasão (firewall barrou), spam recebido sem clique, varredura de port automatizada externa.
Hora 0-2: contenção
Antes de notificar qualquer coisa externamente, conter o incidente:
- Isolar o sistema afetado — desconectar da rede, mudar credenciais, revogar tokens
- Preservar evidência — logs, snapshots, IPs de origem
- Avisar equipe interna restrita — DPO + TI + jurídico + dono. NÃO publicar internamente ainda
- Iniciar registro do incidente — timestamp, descritivo, dados envolvidos, qtd estimada de titulares afetados
Hora 2-24: avaliação técnica
- Identificar tipo de dado vazado — pessoal comum, pessoal sensível (saúde, biometria, etnia, religião), financeiro, profissional
- Estimar nº de titulares afetados — não precisa ser exato, mas honesto
- Identificar vetor — vulnerabilidade explorada (CVE específica), phishing, insider, etc
- Avaliar reversibilidade — dado vazou pra terceiro? Foi publicado? Foi destruído após cópia?
- Decidir se notifica titulares — se risco de dano significativo, sim. Se risco baixo (ex: hash + sal), avaliar com jurídico
Hora 24-48: documentação
Preparar o relatório de incidente que será enviado à ANPD. Deve conter:
- Descrição da natureza — o que aconteceu, quando, como
- Categorias e quantidade de titulares afetados — números aproximados aceitáveis
- Categorias e quantidade de dados afetados — qual tipo de dado vazou
- Consequências prováveis para os titulares — análise honesta de risco
- Medidas técnicas e organizacionais aplicadas — o que você fez nas primeiras 48h
- Plano de mitigação — o que ainda vai fazer pra evitar repetição
- Dados de contato do DPO — pra ANPD pedir esclarecimentos
Template oficial: ANPD disponibiliza formulário em www.gov.br/anpd.
Hora 48-72: notificação
- Submeter à ANPD via portal oficial — preenche o formulário, anexa documento detalhado
- Notificar titulares — se decisão foi pela notificação, fazer por email/SMS/aviso público (depende do canal). Linguagem clara, sem jargão técnico
- Comunicar publicamente se houver dano material — em caso de vazamento de grande escala, comunicado no site da empresa
- Atualizar política de privacidade — se a mitigação envolve novas medidas (autenticação 2FA obrigatória, criptografia adicional), atualizar
Pós-72h: monitoramento
- Manter comunicação com ANPD — eles podem pedir esclarecimentos
- Implementar TODAS as medidas de mitigação prometidas no relatório
- Documentar lições aprendidas — fonte para próxima auditoria interna
- Treinar equipe — em geral, incidente expõe gap em onboarding ou processo
O que NÃO fazer
- ❌ Esconder — atraso na notificação agrava sanção
- ❌ Minimizar a quantidade afetada — ANPD descobre depois, vira agravante
- ❌ Notificar sem DPO — DPO é exigência legal pra LGPD compliance
- ❌ Pagar resgate em ransomware sem comunicar autoridades — pode configurar lavagem de dinheiro
Sanções por descumprimento
- Advertência (incidente leve, primeira vez)
- Multa simples: até 2% do faturamento, limitado a R$ 50 milhões por infração
- Multa diária: cabível em descumprimento continuado
- Bloqueio de tratamento dos dados: pode paralisar operação
- Eliminação dos dados envolvidos
A ANPD prioriza empresas que demonstram boa-fé (notificaram dentro do prazo, mitigaram, treinaram equipe) — sanção é proporcionalmente menor.
Como o CyberCor ajuda
O CyberCor tem módulo de gestão de incidentes que:
- Registra incidentes com classificação automática de gravidade
- Gera relatório no formato aceito pela ANPD
- Notifica internamente DPO + equipe relevante
- Acompanha prazo das 72h em dashboard
- Mantém trilha de auditoria assinada
Combinado com diagnóstico CIS Controls v8, reduz a probabilidade de incidente em primeiro lugar.
Próximo passo: fazer o diagnóstico gratuito do CyberCor e descobrir o nível de exposição da sua empresa em 2 minutos.