Um incidente de segurança é qualquer evento que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação indevida de dados pessoais. Isso inclui ataques de ransomware que criptografam o banco de dados, vazamento de planilhas com dados de clientes, acesso indevido por ex-funcionário e e-mails enviados ao destinatário errado com lista de clientes. O prazo de notificação A LGPD (art. 48) exige que o controlador notifique a ANPD e os titulares afetados em prazo razoável. A Resolução ANPD nº 2/2021 determina 72 horas para a comunicação inicial — atraso na notificação agrava as sanções. O impacto financeiro real No Brasil, 60% dos ataques cibernéticos têm PMEs como alvo. O custo médio de uma violação de dados no Brasil chegou a R$ 6,75 milhões em 2024 (IBM Security). Para PMEs sem seguro cibernético e sem plano de resposta, um único incidente pode ser fatal para o negócio. O que toda empresa deve ter: Plano de Resposta a Incidentes Além da notificação, a empresa deve ter um Plano de Resposta a Incidentes documentado, mesmo que simples: quem contatar, o que preservar como evidência, como comunicar titulares e como retomar operações. A ANPD considera a postura do controlador: quem notifica proativamente recebe tratamento mais favorável do que quem tenta esconder o incidente.