Incidentes de segurança com dados pessoais exigem mais do que uma resposta rápida. Eles exigem análise, critério, registro e capacidade de demonstrar que a empresa tomou a decisão correta diante do caso.

Muitas organizações ainda acreditam que qualquer incidente precisa ser comunicado automaticamente à ANPD. Outras seguem o caminho oposto e deixam de comunicar situações que poderiam, sim, representar risco relevante aos titulares. Nos dois casos, o problema está na ausência de um processo estruturado para avaliar o incidente de forma adequada.

De acordo com a LGPD, um incidente deve ser comunicado à Autoridade Nacional de Proteção de Dados quando envolver dados pessoais e puder acarretar risco ou dano relevante aos titulares.

Imagem: Freepik

O que caracteriza risco ou dano relevante?

Essa avaliação não pode ser feita de forma superficial. É necessário considerar o contexto do incidente, a natureza dos dados afetados, a quantidade de titulares envolvidos, a possibilidade de uso indevido das informações e os impactos concretos ou potenciais para as pessoas afetadas.

Entre os riscos mais relevantes estão situações que podem gerar:

• discriminação
• fraude financeira
• uso indevido de identidade
• danos morais
• danos materiais
• prejuízos reputacionais

A atenção deve ser ainda maior quando o incidente envolver dados pessoais sensíveis, dados financeiros, informações de crianças e adolescentes, credenciais de autenticação ou situações com impacto em larga escala.

Ou seja, a pergunta não deve ser apenas “houve um incidente?”. A pergunta correta é: esse incidente pode gerar risco ou dano relevante aos titulares?

Quando a comunicação se torna obrigatória?

A comunicação à ANPD e, conforme o caso, aos titulares, deve ocorrer quando a análise indicar a existência desse risco ou dano relevante.

Isso significa que a empresa precisa ser capaz de:

• identificar o incidente
• avaliar os dados envolvidos
• mensurar o alcance do ocorrido
• entender os possíveis impactos aos titulares
• registrar as medidas de contenção e mitigação adotadas
• justificar a decisão de comunicar ou não comunicar

Na prática, a obrigação não está apenas na comunicação em si, mas na qualidade da análise que sustenta essa decisão.

Qual é o prazo para comunicar?

Conforme a referência trazida pela própria ANPD no material indicado, a comunicação deve ser realizada em até 3 dias úteis após o conhecimento do incidente pelo controlador, com possibilidade de extensão para 6 dias úteis no caso de pequenos agentes, conforme as condições aplicáveis.

Por isso, depender de controles manuais ou de informações dispersas pode comprometer a agilidade da resposta e a consistência da análise.

Como a comunicação é feita?

A comunicação deve ser realizada por meio do peticionamento eletrônico no sistema SEI da ANPD, seguindo o procedimento disponibilizado pela Autoridade.

Além do envio em si, a organização precisa garantir que a notificação contenha informações suficientes para contextualizar o caso e demonstrar as providências adotadas.

O que deve constar na comunicação?

De forma geral, a comunicação precisa apresentar elementos que permitam entender o incidente e sua gravidade, como:

• descrição dos dados pessoais afetados
• natureza do incidente
• titulares envolvidos
• riscos relacionados ao caso
• medidas técnicas e administrativas adotadas
• ações de contenção e mitigação implementadas

Essa documentação é fundamental para demonstrar diligência e maturidade na gestão da privacidade.

E quando o incidente não precisa ser comunicado?

Mesmo quando a conclusão for pela não comunicação, o incidente ainda precisa ser registrado internamente.

Esse ponto é essencial. A empresa deve manter o histórico da ocorrência, a análise realizada, os critérios considerados e os fundamentos da decisão. Segundo a orientação mencionada, esse registro deve ser mantido por pelo menos 5 anos.

Esse cuidado é o que permite demonstrar boa-fé, governança e conformidade em caso de fiscalização futura.

O risco de não comunicar quando deveria

Subavaliar o impacto de um incidente pode gerar consequências sérias. Quando uma organização deixa de comunicar um caso que deveria ter sido reportado, isso pode ser interpretado como descumprimento da LGPD e resultar em sanções, além de ampliar o desgaste reputacional da empresa.

Em muitos casos, o problema deixa de ser apenas o incidente original e passa a ser também a incapacidade de demonstrar que a resposta adotada foi adequada.

O que as empresas precisam fazer na prática

A gestão de incidentes não pode depender apenas de boa vontade, trocas de e-mail ou decisões tomadas sem registro. Ela precisa fazer parte de uma estrutura de governança.

Isso envolve processos claros, responsabilidades definidas, centralização de informações, organização de evidências e rastreabilidade sobre cada etapa da resposta ao incidente.

É justamente nesse ponto que a tecnologia deixa de ser apenas apoio operacional e passa a ser parte estratégica da conformidade.

Como a DataMapping apoia esse processo

A DataMapping ajuda empresas a estruturar a gestão de privacidade com mais controle, organização e segurança. Com a plataforma, é possível centralizar evidências, registrar processos, organizar fluxos e fortalecer a governança necessária para lidar com incidentes de forma mais consistente.

Quando a empresa possui visibilidade sobre seus dados, seus processos e seus registros, a tomada de decisão se torna mais rápida, mais segura e mais defensável.

Conheça a plataforma

Se a sua empresa ainda depende de controles manuais para lidar com incidentes e comprovar conformidade, este é o momento de evoluir sua operação.

Conheça a DataMapping e veja como a plataforma pode apoiar sua gestão de incidentes, governança e adequação contínua à LGPD.

Leitura complementar

Para consultar as orientações da própria ANPD sobre comunicado de incidente de segurança, acesse o conteúdo oficial:

Leia mais em:
https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis