Empresas e órgãos públicos que lidam com dados pessoais de clientes, usuários ou cidadãos deverão acionar a Autoridade Nacional de Proteção de Dados (ANPD) em até três dias úteis após tomar conhecimento de vazamentos ou incidentes de segurança relevantes. (Foto ilustração)
A exigência está prevista na Resolução CD/ANPD nº 15, em vigor desde abril de 2024, mas começou a ser aplicada com maior rigor neste segundo semestre de 2025. A medida tem como objetivo aumentar a transparência no tratamento de informações e proteger os direitos dos titulares diante do crescimento de ataques cibernéticos e falhas operacionais no país.
A obrigatoriedade de comunicação aplica-se somente quando houver risco relevante aos direitos dos afetados e a ocorrência de pelo menos um dos seguintes fatores: tratamento de dados em larga escala; dados sensíveis ou de crianças e adolescentes; informações financeiras, biométricas ou protegidas por sigilo legal.
Critérios objetivos para notificação
“Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas sabem exatamente quando devem notificar e o que pode acontecer se não o fizerem”, explica o advogado especialista em Direito da Tecnologia e Cibersegurança do GMP | G&C Advogados Associados, Bruno Fuentes.
O especialista reforça que a comunicação deve ser rápida, técnica e transparente. “O improviso, nesse contexto, é um grande inimigo. Ter processos definidos é essencial para minimizar riscos legais e reputacionais”, alerta Fuentes.
O prazo padrão para notificação de incidentes é de três dias úteis, contado a partir do momento em que a organização toma ciência do evento. Agentes de pequeno porte, como microempresas, startups ou organizações não governamentais, podem contar com prazo estendido, de até seis dias úteis.
Mesmo quando o incidente não exige notificação formal, a empresa deve manter registro interno do evento por cinco anos. Essa documentação é fundamental para auditorias, defesa administrativa ou processos judiciais.
Desde julho deste ano, a ANPD intensificou sua fiscalização: mais de 20 empresas foram notificadas por falhas no tratamento de dados ou por não comunicar incidentes relevantes. As sanções previstas pela Lei Geral de Proteção de Dados (LGPD) variam de advertências a multas de até R$ 50 milhões por infração, sem contabilizar o impacto reputacional.
“Negligenciar a LGPD deixou de ser um risco teórico. A autoridade está atuando, e cada caso de omissão se torna precedente para penalidades mais severas”, alerta Fuentes. (Lívia Macario)
No Comment! Be the first one.