lgpdincidenteanpdvazamento-dadosconformidade

Incidente de segurança LGPD: o passo a passo das 72 horas pra notificar a ANPD

Se sua empresa sofreu vazamento ou incidente de segurança com dados pessoais, a LGPD exige notificação à ANPD em até 72 horas. Mapeamos o passo a passo prático, incluindo template de notificação.

Por Equipe CyberCor ·

A Lei Geral de Protecao de Dados (Lei 13.709/2018) estabelece que qualquer empresa que sofra incidente de segurança com dados pessoais deve notificar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoavelmente breve — interpretado pela jurisprudência da ANPD como até 72 horas após o conhecimento do incidente.

Não cumprir esse prazo, ou cumprir mal, agrava sanções administrativas que podem chegar a R$ 50 milhões ou 2% do faturamento.

Esse artigo mostra exatamente o que fazer nas 72 horas seguintes à descoberta de um incidente.

O que conta como "incidente de segurança"

A LGPD não define com precisão, mas a ANPD orienta que qualquer dos seguintes eventos se enquadra:

Não conta como incidente: tentativa bloqueada de invasão (firewall barrou), spam recebido sem clique, varredura de port automatizada externa.

Hora 0-2: contenção

Antes de notificar qualquer coisa externamente, conter o incidente:

  1. Isolar o sistema afetado — desconectar da rede, mudar credenciais, revogar tokens
  2. Preservar evidência — logs, snapshots, IPs de origem
  3. Avisar equipe interna restrita — DPO + TI + jurídico + dono. NÃO publicar internamente ainda
  4. Iniciar registro do incidente — timestamp, descritivo, dados envolvidos, qtd estimada de titulares afetados

Hora 2-24: avaliação técnica

  1. Identificar tipo de dado vazado — pessoal comum, pessoal sensível (saúde, biometria, etnia, religião), financeiro, profissional
  2. Estimar nº de titulares afetados — não precisa ser exato, mas honesto
  3. Identificar vetor — vulnerabilidade explorada (CVE específica), phishing, insider, etc
  4. Avaliar reversibilidade — dado vazou pra terceiro? Foi publicado? Foi destruído após cópia?
  5. Decidir se notifica titulares — se risco de dano significativo, sim. Se risco baixo (ex: hash + sal), avaliar com jurídico

Hora 24-48: documentação

Preparar o relatório de incidente que será enviado à ANPD. Deve conter:

Template oficial: ANPD disponibiliza formulário em www.gov.br/anpd.

Hora 48-72: notificação

  1. Submeter à ANPD via portal oficial — preenche o formulário, anexa documento detalhado
  2. Notificar titulares — se decisão foi pela notificação, fazer por email/SMS/aviso público (depende do canal). Linguagem clara, sem jargão técnico
  3. Comunicar publicamente se houver dano material — em caso de vazamento de grande escala, comunicado no site da empresa
  4. Atualizar política de privacidade — se a mitigação envolve novas medidas (autenticação 2FA obrigatória, criptografia adicional), atualizar

Pós-72h: monitoramento

O que NÃO fazer

Sanções por descumprimento

A ANPD prioriza empresas que demonstram boa-fé (notificaram dentro do prazo, mitigaram, treinaram equipe) — sanção é proporcionalmente menor.

Como o CyberCor ajuda

O CyberCor tem módulo de gestão de incidentes que:

Combinado com diagnóstico CIS Controls v8, reduz a probabilidade de incidente em primeiro lugar.

Próximo passo: fazer o diagnóstico gratuito do CyberCor e descobrir o nível de exposição da sua empresa em 2 minutos.

Quer saber mais sobre CyberCor?

Conheça a plataforma e veja como funciona na prática.

Conhecer CyberCor →