O que a LGPD exige em caso de incidente
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) impõe obrigações específicas às organizações que sofrem incidentes de segurança envolvendo dados pessoais. Entender essas exigências antes de uma crise é essencial.
Obrigação de comunicação (Art. 48)
O controlador de dados deve comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Os elementos obrigatórios da comunicação incluem:
- Descrição da natureza dos dados pessoais afetados
- Informações sobre os titulares envolvidos
- Indicação das medidas técnicas e de segurança utilizadas
- Riscos relacionados ao incidente
- Medidas adotadas para reverter ou mitigar os efeitos
Prazos regulatórios
A ANPD regulamentou os prazos por meio da Resolução CD/ANPD nº 15/2024:
- 72 horas para comunicação preliminar de incidentes com risco significativo
- 5 dias úteis para complementação da comunicação preliminar
- 30 dias para relatório final completo em casos de alto risco
Esses prazos correm a partir do momento em que o controlador toma ciência do incidente — não da data em que o ataque ocorreu.
A armadilha da descoberta tardia
Um dos maiores riscos de compliance não é o ataque em si, mas o tempo que uma organização leva para descobri-lo. O tempo médio de detecção (MTTD) em organizações sem monitoramento dedicado no Brasil é de 187 dias — quase seis meses após a exfiltração inicial.
Isso significa que, em muitos casos:
- Os dados já foram comercializados na dark web
- Titulares já foram afetados (fraudes, phishing direcionado)
- A organização ainda não sabe que foi comprometida
Quando o incidente é descoberto externamente — por uma notícia, por um cliente afetado ou por uma notificação de terceiro — o prazo de 72h começa imediatamente. Porém, o relatório exigido pela ANPD requer informações sobre como, quando e quais dados foram afetados.
Sem logs preservados e sem investigação forense prévia, atender ao prazo é quase impossível.
Como a inteligência de ameaças fortalece o compliance LGPD
Detecção antecipada via dark web
Monitorar a dark web — especificamente fóruns de venda de dados, canais de leak e mercados de credenciais — permite identificar vazamentos antes da descoberta interna. Em muitos casos, os dados são comercializados antes de qualquer alerta no ambiente corporativo.
Com monitoramento ativo, é possível:
- Detectar credenciais corporativas comercializadas em fóruns
- Identificar bases de dados com informações de clientes à venda
- Receber alertas sobre menções ao CNPJ, domínio ou nomes de executivos em canais criminosos
Preservação de evidências
Quando um alerta é gerado, a equipe de resposta inicia imediatamente a coleta forense — preservando logs, hashes de arquivos e linha do tempo de eventos. Essa documentação é precisamente o que a ANPD exige no relatório final.
Notificação em tempo hábil
Reduzir o MTTD de meses para horas ou dias transforma um risco de não conformidade em resposta aderente à lei. A ANPD tende a avaliar positivamente organizações que demonstram proatividade e comunicação dentro dos prazos.
Multas e consequências
A ANPD pode aplicar sanções administrativas previstas no Art. 52 da LGPD:
| Sanção | Limite |
|---|---|
| Advertência | — |
| Multa simples | 2% do faturamento, até R$ 50 milhões por infração |
| Multa diária | Até R$ 50 milhões por dia |
| Publicização da infração | — |
| Bloqueio dos dados | Temporário |
| Eliminação dos dados | Definitivo |
Além das multas, o risco reputacional e as ações civis movidas por titulares prejudicados têm potencial de impacto financeiro superior às penalidades administrativas.
Resolução CMN nº 5.274/2025 — Setor Financeiro
Para instituições financeiras supervisionadas pelo Banco Central, a Resolução CMN nº 5.274/2025 elevou os requisitos de cibersegurança. Além das obrigações LGPD, o normativo exige:
- Programa formal de gerenciamento de riscos cibernéticos
- Teste periódico de planos de continuidade e resposta a incidentes
- Uso de inteligência de ameaças para embasar o gerenciamento de riscos
- Relatório anual ao conselho de administração sobre postura de segurança
Bancos, fintechs, corretoras e demais entidades supervisionadas que não adequarem seus controles até os prazos previstos estão sujeitas a restrições operacionais impostas pelo BACEN.
Checklist básico de prontidão LGPD para incidentes
- Inventário de dados pessoais atualizado (quais dados, onde estão, quem tem acesso)
- Plano de Resposta a Incidentes (IRP) documentado e testado
- Contato pré-estabelecido com equipe de IR e assessoria jurídica especializada
- Procedimento de preservação forense documentado
- Canal de comunicação com titulares definido
- Monitoramento ativo de dark web para detecção antecipada
- Logs centralizados com retenção mínima de 12 meses
- Exercício simulado de incidente com equipe jurídica e comunicação
A PurpleHat oferece monitoramento contínuo de dark web e resposta a incidentes alinhados às exigências da LGPD e às regulações setoriais. Converse com nossos especialistas.