A Lei Geral de Proteção de Dados Pessoais (LGPD) prevê que, sempre que houver um incidente de segurança que possa trazer risco ou dano aos titulares dos dados, a empresa responsável pelo tratamento dessas informações deve comunicar o ocorrido à ANPD e aos próprios titulares.
Para dar clareza a essa obrigação, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 15/2024, que estabelece as diretrizes oficiais sobre como deve ser feita essa comunicação — inclusive com prazo de até 3 dias úteis a partir da identificação do incidente.
Quais são os critérios para a notificação?
A notificação só é obrigatória quando o incidente:
- Afeta dados pessoais (como nome, CPF, e-mail, dados bancários, etc.);
- Pode causar risco ou dano relevante aos titulares, como uso indevido de dados, discriminação, fraudes, entre outros.
Se o incidente não tiver potencial de impacto, a comunicação pode ser dispensada — mas a empresa deve manter documentação interna registrando a análise e justificando a decisão.
O que a empresa precisa informar?
O comunicado à ANPD deve conter:
- Descrição do incidente;
- Tipo de dados afetados;
- Número aproximado de titulares envolvidos;
- Medidas de segurança existentes antes do incidente;
- Ações corretivas adotadas após o evento;
- Plano para reduzir ou reverter os impactos.
A comunicação deve ser feita através do formulário eletrônico oficial da ANPD, disponível no site da autoridade.
E quanto aos titulares dos dados?
Se o incidente for grave e puder afetar diretamente os titulares, a empresa também deve informá-los de forma clara, direta e acessível, usando os meios mais eficazes de contato, como e-mail, aplicativo, SMS ou telefone.
E se a empresa não cumprir?
A ausência de notificação pode acarretar sanções administrativas, conforme previsto na LGPD, incluindo multas e penalidades mais severas, além de danos à imagem e à credibilidade da organização.
Sua empresa sabe como agir diante de um incidente de dados?
Na Legal Comply, preparamos empresas para responder corretamente a incidentes de segurança. Atuamos com:
✔️ Estruturação de planos de resposta a incidentes
✔️ Conscientização e treinamento de equipes
✔️ Apoio jurídico e técnico para comunicação com a ANPD
✔️ Governança de dados e políticas de segurança da informação
A LGPD é clara: quem coleta dados é responsável por protegê-los — e por agir rápido em caso de falhas.
👉 Entre em contato com a Legal Comply e garanta que sua empresa esteja pronta para agir com responsabilidade e dentro da lei.