Guia completo: LGPD e conformidade

TL;DR — Leia em 60 segundos

  • A notificação de incidentes à ANPD é obrigação legal prevista na LGPD e pode gerar sanções severas, incluindo multas de até 2 por cento do faturamento limitado a cinquenta milhões de reais por infração, além de bloqueio de dados e danos reputacionais irreversíveis.
  • Em 2026, com a consolidação das normas complementares da ANPD e maior integração com Banco Central, CVM, ANS e Senacon, o nível de fiscalização aumentou significativamente, exigindo processos maduros, documentados e testados.
  • Empresas no Nível 0 de maturidade geralmente descobrem incidentes tardiamente, notificam fora do prazo e não conseguem comprovar diligência. Organizações avançadas possuem playbooks, simulações, SOC ativo e governança integrada.
  • O roadmap de maturidade vai do improviso à inteligência preditiva, envolvendo classificação de dados, matriz de risco, comunicação estruturada, integração jurídica e evidências técnicas robustas.
  • A diferença entre uma notificação desorganizada e uma resposta estruturada pode definir se o caso resultará em advertência educativa ou em processo sancionador com repercussão pública.

Gestão de Ameaças · Grátis · Sem cartão

Comece pelo mapeamento gratuito de riscos da sua empresa

O plano gratuito mapeia todas as vulnerabilidades e riscos da sua empresa, monitora novas ameaças e ataques, e coloca a nossa equipe e a nossa IA à sua disposição 24x7 — sem cartão. Do MEI ao Enterprise.

Começar grátis

Perguntas frequentes (FAQ)

O que caracteriza risco ou dano relevante para fins de notificação à ANPD?

Risco ou dano relevante é conceito jurídico indeterminado que exige análise contextual e técnica. Em termos práticos, envolve avaliar se o incidente pode resultar em impactos significativos aos direitos e liberdades dos titulares, como fraude financeira, discriminação, danos à reputação, exposição de dados sensíveis ou riscos físicos. A análise deve considerar natureza dos dados, volume, facilidade de identificação dos titulares e medidas de segurança existentes.

Dados sensíveis, como informações de saúde, biometria e convicções religiosas, elevam o nível de risco. Informações financeiras e credenciais de acesso também possuem alto potencial de dano. Mesmo dados aparentemente simples, como nome e CPF, podem gerar fraudes quando combinados com outras bases disponíveis no mercado ilegal.

A empresa deve documentar critérios utilizados na avaliação, demonstrando diligência. A ausência de dano efetivo não elimina obrigação de notificar se houver risco relevante. A decisão deve ser fundamentada em análise técnica consistente e revisada pelo encarregado e área jurídica.

Qual é o prazo para notificar a ANPD após a ciência do incidente?

A regulamentação da ANPD estabelece que a comunicação deve ocorrer em prazo razoável, sem definir número fixo de horas, mas enfatizando a urgência conforme gravidade. A interpretação predominante é que a notificação deve ocorrer tão logo a empresa tenha informações suficientes para caracterizar o incidente e avaliar risco relevante.

Na prática, organizações maduras buscam realizar comunicação preliminar em poucos dias após confirmação do incidente, atualizando informações posteriormente se necessário. O atraso injustificado pode ser interpretado como negligência.

É fundamental registrar a data e hora em que a empresa teve ciência inequívoca do incidente, pois esse marco influencia análise de tempestividade. Processos internos devem ser estruturados para evitar atrasos na escalada e tomada de decisão.

É obrigatório comunicar também os titulares afetados?

Sim, quando o incidente puder acarretar risco ou dano relevante aos titulares, a comunicação direta é recomendada e pode ser determinada pela ANPD. A comunicação deve ser clara, simples e conter informações sobre natureza dos dados afetados, medidas adotadas e orientações de proteção.

A forma de comunicação pode variar conforme contexto, incluindo e-mail, carta ou aviso em site, desde que assegure efetiva ciência dos titulares. Linguagem excessivamente técnica ou minimização indevida de riscos deve ser evitada.

A empresa deve manter registro das comunicações realizadas, demonstrando transparência e diligência.

Incidentes envolvendo operadores também devem ser notificados pelo controlador?

Sim. A responsabilidade principal perante a ANPD recai sobre o controlador, mesmo quando o incidente ocorre em operador contratado. Por isso, contratos devem prever obrigação de comunicação imediata pelo operador, fornecimento de informações técnicas e cooperação na investigação.

A ausência de cláusulas claras pode atrasar resposta e comprometer avaliação de risco. O controlador deve monitorar terceiros críticos e incluir exigências de segurança e auditoria.

Quais sanções podem ser aplicadas em caso de falha na notificação?

A LGPD prevê advertência, multa simples ou diária limitada a cinquenta milhões de reais por infração, publicização da infração, bloqueio ou eliminação de dados e suspensão parcial das atividades de tratamento. A dosimetria considera gravidade, reincidência, cooperação e adoção de boas práticas.

A falha na notificação pode agravar penalidade, especialmente se houver tentativa de ocultação. Demonstrar diligência e cooperação pode atuar como atenuante relevante.

Como documentar adequadamente a decisão de não notificar?

A decisão de não notificar deve ser formalizada em relatório interno contendo descrição do incidente, análise de risco detalhada, critérios utilizados e justificativa fundamentada. Esse documento deve ser aprovado por responsáveis técnicos e jurídicos.

Manter evidências técnicas, como logs e relatórios forenses, é essencial para sustentar decisão caso questionada futuramente.

Pequenas empresas também precisam notificar?

Sim. A obrigação decorre da LGPD e aplica-se a controladores em geral, independentemente do porte. A ANPD pode adotar abordagem orientativa para micro e pequenas empresas, mas a responsabilidade persiste.

Empresas de menor porte devem buscar soluções proporcionais à sua realidade, sem ignorar a necessidade de avaliação de risco e comunicação adequada.

Vazamento sem confirmação de acesso indevido exige notificação?

Depende da avaliação de risco. Se houver forte indício de que dados ficaram expostos de forma acessível a terceiros não autorizados, mesmo sem prova de acesso efetivo, pode haver risco relevante. A análise deve considerar contexto técnico e probabilidade de exploração.

Como integrar notificação à estratégia de gestão de crise?

A notificação deve estar alinhada ao plano de gestão de crise e comunicação corporativa. Porta-vozes devem estar preparados e mensagens devem ser consistentes. A falta de alinhamento pode gerar informações contraditórias e ampliar danos reputacionais.

A criptografia elimina a obrigação de notificar?

Não necessariamente. Se os dados estiverem protegidos por criptografia forte e as chaves não tiverem sido comprometidas, o risco pode ser reduzido a ponto de afastar obrigação de notificar. Contudo, a decisão deve ser baseada em análise técnica detalhada.

O que a ANPD avalia após receber a notificação?

A autoridade pode solicitar informações adicionais, avaliar medidas adotadas e verificar conformidade com princípios da LGPD. A qualidade e completude das informações influenciam percepção sobre governança da empresa.

Como evoluir do Nível 0 ao Avançado em maturidade?

A evolução exige diagnóstico, planejamento estruturado, investimento em tecnologia, capacitação contínua e integração entre áreas. Empresas avançadas adotam abordagem proativa, com monitoramento contínuo, testes regulares e revisão constante de políticas.


Comece agora — diagnóstico gratuito em 5 minutos

A maturidade em notificação de incidentes não pode ser improvisada quando a crise já está instalada. Organizações que aguardam o primeiro grande vazamento para estruturar processos pagam preço alto em multas, ações judiciais e perda de confiança do mercado. O momento de agir é antes do incidente.

Acesse agora https://decripte.com.br/intelligence-center e realize seu diagnóstico gratuito. Em poucos minutos, você terá visão clara do seu nível de maturidade e das lacunas prioritárias que precisam ser tratadas para evitar exposição regulatória. O diagnóstico é objetivo, estratégico e orientado à realidade do mercado brasileiro.

Depois de conhecer seu cenário, explore os planos especializados em https://decripte.com.br/planos e estruture governança, monitoramento e resposta com apoio de especialistas. Para aprofundar conhecimento técnico e acompanhar atualizações regulatórias, visite também https://decripte.com.br/artigos.

Empresas preparadas não apenas cumprem a lei. Elas transformam segurança e privacidade em vantagem competitiva sustentável. O próximo incidente pode estar a uma tentativa de phishing de distância. A diferença estará no seu nível de maturidade quando ele acontecer.