Protocolo de Notificação LGPD | Decripte Security

A LGPD estabelece obrigações claras de notificação em casos de incidentes de segurança que possam acarretar risco ou dano aos titulares de dados. Compreender quando, como e para quem notificar é fundamental para compliance e gestão de crises.

Fundamento Legal

O Art. 48 da LGPD determina que o controlador deve comunicar à autoridade nacional (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Esta notificação deve ser feita em prazo razoável.

Além disso, o Art. 52 prevê que agentes de tratamento que não adotarem medidas de segurança adequadas sujeitam-se a sanções administrativas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

Quando Notificar é Obrigatório

A obrigação de notificação surge quando o incidente pode acarretar "risco ou dano relevante" aos titulares. Critérios para avaliação incluem:

Natureza dos Dados: Dados sensíveis (saúde, origem racial, convicção religiosa, etc) demandam maior atenção que dados menos sensíveis.

Volume de Dados: Incidentes envolvendo grande quantidade de titulares geralmente exigem notificação.

Possibilidade de Dano: Avaliar se o incidente pode resultar em danos patrimoniais, morais, discriminação, fraude ou outros prejuízos aos titulares.

Medidas de Proteção: Dados criptografados com chaves não comprometidas podem reduzir ou eliminar a necessidade de notificação.

Prazo para Notificação

A LGPD determina notificação em "prazo razoável", sem especificar número exato de dias. Referências internacionais sugerem:

GDPR: 72 horas para notificação à autoridade, e "sem atrasos indevidos" aos titulares quando houver alto risco.

Melhores Práticas Brasil: Recomenda-se notificar a ANPD em até 72 horas e titulares o mais breve possível, idealmente em paralelo ou logo após notificação à autoridade.

Comunicação Inicial vs Final: Quando a investigação não está completa, pode-se fazer comunicação inicial com informações disponíveis e suplementar posteriormente.

Notificação à ANPD

A notificação à Autoridade Nacional de Proteção de Dados deve conter, conforme Art. 48, §1º:

I - Descrição da natureza dos dados pessoais afetados: Especificar categorias de dados (CPF, e-mail, dados financeiros, dados sensíveis, etc).

II - Informações sobre os titulares envolvidos: Número de titulares afetados e suas características (clientes, colaboradores, menores, etc).

III - Indicação das medidas técnicas e de segurança utilizadas: Controles de segurança implementados (criptografia, firewalls, backups, etc).

IV - Riscos relacionados ao incidente: Análise de impacto, danos potenciais aos titulares.

V - Motivos da demora, quando for o caso: Justificativa se notificação não foi feita em prazo adequado.

VI - Medidas adotadas para reverter ou mitigar os efeitos: Ações corretivas, remediação, melhorias de segurança.

Notificação aos Titulares

A comunicação aos titulares deve ser clara, em linguagem acessível, contendo:

O que aconteceu: Descrição do incidente sem jargões técnicos excessivos.

Quais dados foram afetados: Categorias de dados pessoais comprometidos.

Quando ocorreu: Período do incidente e data de descoberta.

Possíveis consequências: Riscos que o titular pode enfrentar (fraude, phishing, etc).

Medidas adotadas: Ações tomadas pela organização para remediar o incidente e prevenir recorrência.

Recomendações ao titular: Orientações práticas (troca de senha, monitoramento de crédito, atenção a fraudes).

Canal de contato: Ponto focal para esclarecimentos do titular (e-mail, telefone, portal).

Canais de Notificação

À ANPD: Através do canal oficial disponibilizado pela autoridade (site, sistema online, formulário específico).

Aos Titulares: Meios adequados ao contexto e urgência: e-mail individual, publicação em site, comunicado em app, carta registrada para casos graves. SMS e notificações push podem ser usados para alertas urgentes.

Mídia: Para incidentes de grande escala, considerar comunicação pública via imprensa para alcance amplo.

Dispensa de Notificação

O §3º do Art. 48 permite dispensa de notificação ao titular quando a ANPD verificar que foram adotadas medidas técnicas de proteção que tornem os dados incompreensíveis a terceiros não autorizados.

Criptografia: Dados criptografados com algoritmos fortes e chaves não comprometidas podem justificar dispensa.

Pseudonimização: Em alguns casos, técnicas de pseudonimização robustas podem reduzir o risco ao titular.

Avaliação de Risco: Mesmo com criptografia, se há risco residual significativo, a notificação pode ser necessária.

Papel do DPO

O Encarregado de Dados (DPO) tem papel central no processo de notificação:

Coordenação: Coordenar avaliação de necessidade de notificação, preparação de conteúdos e envio às partes.

Interface com ANPD: Atuar como ponto de contato com a autoridade.

Orientação: Orientar equipes sobre requisitos legais e melhores práticas.

Documentação: Garantir documentação adequada de todo processo de notificação para demonstração de compliance.

Integração com Resposta a Incidentes

O processo de notificação deve estar integrado ao plano de resposta a incidentes:

Avaliação Inicial: Durante fase de contenção, avaliar preliminarmente se incidente demandará notificação.

Timeline Tracking: Documentar timestamp de descoberta, contenção e marcos importantes para cálculo de prazos.

Parallel Paths: Iniciar preparação de notificações em paralelo com investigação técnica para minimizar atrasos.

Decision Points: Definir checkpoints no processo de resposta para decisão formal sobre notificação.

Aspectos Jurídicos

Assessoria Jurídica: Envolver jurídico desde início para avaliar obrigações legais e riscos de litígio.

Privilege: Considerar attorney-client privilege em comunicações sobre incidente para proteção em eventuais processos.

Class Actions: Notificações podem desencadear ações coletivas. Linguagem cuidadosa é essencial.

Responsabilidade Civil: Falha em notificar adequadamente pode agravar responsabilidade civil por danos aos titulares.

Comunicação Externa

Além das notificações obrigatórias, considerar comunicações adicionais:

Parceiros e Fornecedores: Se dados compartilhados foram afetados, notificar controladores conjuntos e operadores.

Investidores: Para empresas públicas, avaliar obrigações de disclosure a acionistas e mercado.

Seguradoras: Notificar seguradoras cibernéticas conforme termos da apólice.

Autoridades Setoriais: BACEN para instituições financeiras, ANS para planos de saúde, etc.

Templates e Preparação

Preparar antecipadamente templates de notificação acelera resposta e garante conteúdo adequado:

Template ANPD: Documento pré-aprovado pelo jurídico cobrindo todos os requisitos do Art. 48, com campos variáveis para preenchimento.

Template Titulares: Versões para diferentes tipos de incidente (ransomware, phishing, acesso não autorizado) e públicos (B2C vs B2B).

FAQ: Documento de perguntas frequentes para suporte ao cliente e call center responderem dúvidas de titulares.

Press Release: Para incidentes que gerarão atenção da mídia.

Documentação

Manter documentação completa do processo de notificação:

Record of Processing: Registrar no registro de operações de tratamento conforme Art. 37.

Decision Log: Documentar raciocínio para decisões sobre notificação, incluindo se foi dispensada.

Evidence of Notification: Guardar comprovantes de envio (recibos de e-mail, protocolos, AR de cartas).

Communication Tracking: Log de todas comunicações com ANPD, titulares e outras partes.

Pós-Notificação

Após notificações iniciais, manter diálogo contínuo:

Atualizações à ANPD: Informar sobre progresso da investigação e medidas adicionais conforme solicitado.

Suporte aos Titulares: Manter canal aberto para dúvidas e oferecer suporte adequado (ex: monitoramento de crédito gratuito).

Transparência Contínua: Atualizar comunicações públicas conforme novas informações relevantes surgirem.

Comparação com GDPR

Para organizações que operam globalmente, é importante conhecer diferenças entre LGPD e GDPR:

Prazo: GDPR especifica 72h; LGPD menciona "prazo razoável".

Penalidades: Ambas têm multas significativas, mas GDPR pode chegar a 4% do faturamento global vs 2% da LGPD.

Threshold: GDPR requer notificação se "provável risco"; LGPD se "risco ou dano relevante".