Como comunicar um vazamento de dados aos titulares afetados
Quando um incidente de dados pessoais acontece, a organização enfrenta duas obrigações paralelas: notificar a ANPD (Autoridade Nacional de Proteção de Dados) e comunicar os titulares afetados. A notificação à ANPD tem prazo e formato definidos em regulação específica. A comunicação aos titulares é menos prescrita em detalhes, mas igualmente obrigatória — e frequentemente subestimada.
Este guia trata especificamente da comunicação aos titulares: quando ela é exigida, o que deve conter, como deve ser feita e quais erros comuns agravam a crise em vez de controlá-la.
A obrigação legal: Art. 48 da LGPD
O Art. 48 da LGPD estabelece:
"O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."
Dois elementos são centrais nesse dispositivo:
1. "Incidente que possa acarretar risco ou dano relevante"
A comunicação não é obrigatória para todo e qualquer incidente de segurança — apenas para aqueles que representem risco relevante para os titulares. Isso exige uma avaliação de impacto que considere:
- A natureza dos dados afetados (dados sensíveis aumentam o risco automaticamente)
- O volume de registros
- A probabilidade de uso malicioso dos dados
- O impacto potencial — financeiro, discriminatório, físico, reputacional
2. Dupla destinatária: ANPD e titular
A lei exige que tanto a autoridade quanto o titular sejam comunicados. Na prática, esses processos têm características distintas e podem ocorrer em momentos diferentes.
O que a ANPD pode determinar
O Art. 48, §2º da LGPD prevê que a ANPD pode "verificar a gravidade do incidente e, caso necessário, determinar ao controlador a adoção de providências, tais como a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente."
Isso significa que, mesmo quando o controlador avalia que a comunicação direta aos titulares não é necessária, a ANPD pode discordar e exigir a divulgação.
Quando comunicar os titulares?
Comunicação obrigatória — critérios
A comunicação aos titulares é obrigatória quando o incidente possa gerar:
- Risco financeiro: dados bancários, cartões de crédito, CPF + dados de renda que permitam fraude
- Risco discriminatório: dados de saúde, orientação sexual, religião, origem étnica, posição política
- Risco físico ou à segurança: dados de localização, dados de menores, dados que permitam identificar vulnerabilidades pessoais
- Risco reputacional significativo: exposição de histórico jurídico, dados de emprego, dados médicos
- Qualquer dado sensível do Art. 5º, II da LGPD exposto a acesso não autorizado
Comunicação não obrigatória — mas recomendável
Mesmo quando o incidente não caracteriza risco "relevante" nos termos da lei, a comunicação proativa pode ser estrategicamente recomendável:
- Demonstra transparência e constrói confiança
- Reduz o risco de processos judiciais por omissão
- Alinha a organização à expectativa crescente de titulares e reguladores
O timing: quando comunicar
A LGPD usa a expressão "prazo razoável" para a comunicação aos titulares, sem fixar um prazo específico em horas ou dias. A Resolução CD/ANPD nº 15/2024, que trata da notificação à ANPD, estabelece:
- 3 dias úteis para a notificação preliminar à ANPD
- 20 dias úteis para o relatório complementar à ANPD
Para os titulares, a prática e a doutrina convergem para o seguinte princípio: comunicar tão logo quanto for razoavelmente possível, considerando que:
- A organização precisa de tempo mínimo para entender o incidente antes de comunicar — comunicar fatos incompletos ou incorretos é pior do que aguardar 24-48 horas adicionais para ter informações precisas
- O titular precisa ser informado a tempo de tomar ações protetivas (cancelar cartão, trocar senha, monitorar extratos) — quanto mais tempo passa, menos efetivas são essas ações
Referência prática: comunicar os titulares dentro de 72 horas a 7 dias do momento de confirmação do incidente é o padrão que equilibra precisão e urgência. No GDPR europeu, o prazo de 72 horas se aplica à notificação da autoridade supervisora (Art. 33); a notificação aos titulares afetados (Art. 34) deve ocorrer "sem demora injustificada" — sem prazo fixo em horas —, o que reforça a avaliação caso a caso.
O que a comunicação deve conter
O Art. 48, §1º da LGPD lista o conteúdo mínimo da comunicação ao titular:
Conteúdo obrigatório (Art. 48, §1º)
| Elemento | O que incluir |
|---|---|
| I. Natureza dos dados | Quais categorias de dados foram afetadas (ex: "e-mail, nome e senha cifrada") |
| II. Informações sobre os titulares | Estimativa do universo de pessoas afetadas (ex: "aproximadamente 12.000 clientes cadastrados entre 2020 e 2024") |
| III. Medidas técnicas e de segurança | O que a organização fez para proteger os dados e o que está fazendo para conter o incidente |
| IV. Riscos relacionados ao incidente | Quais são os riscos concretos para o titular (fraude? spam? abuso de identidade?) |
| V. Motivos do atraso (se aplicável) | Se a comunicação foi atrasada além do razoável, explicar por quê |
| VI. Medidas adotadas ou a adotar | Ações corretivas: o que a empresa já fez e o que fará para reverter ou mitigar os danos |
Conteúdo complementar recomendado
Além do mínimo legal, comunicações eficazes incluem:
- Ações recomendadas ao titular: o que a pessoa deve fazer agora (trocar senha, monitorar extrato, fazer BO?)
- Canal de atendimento dedicado: número de telefone, e-mail ou formulário específico para dúvidas relacionadas ao incidente
- Prazo de acompanhamento: até quando a organização manterá o canal dedicado ativo
- Link para mais informações: página web com FAQ e atualizações sobre o incidente
Como comunicar: os canais
E-mail direto ao titular
O canal mais comum e direto. Requisitos:
- Enviar do endereço oficial da empresa (não de domínio de terceiro)
- Linha de assunto clara: "Aviso importante sobre seus dados pessoais" — evitar termos vagos
- Remetente identificado: nome + cargo do responsável pela comunicação (ex: "João Silva, Encarregado de Proteção de Dados")
- Não incluir links que peçam clique para "verificar conta" — cibercriminosos frequentemente exploram incidentes reais para enviar phishing paralelo
Correspondência postal
Para titulares sem e-mail cadastrado, ou quando o incidente envolver vazamento do próprio banco de e-mails. Mais custoso, mas necessário quando é o único canal disponível.
SMS/WhatsApp
Adequado para comunicações urgentes onde o titular precisa tomar ação imediata (ex: cancelar cartão). Deve ser complementado por comunicação mais detalhada por e-mail ou carta.
Aviso no site e aplicativo
Complementar — não substitui comunicação individual para os titulares afetados. Serve para comunicação de amplo alcance quando não se tem dados de contato de todos os afetados, ou quando a ANPD determina "ampla divulgação".
Imprensa (quando determinado pela ANPD)
Em casos de grande escala, a ANPD pode determinar divulgação por meios de comunicação. A organização deve ter preparado um comunicado de imprensa como parte do plano de resposta ao incidente.
O que NÃO fazer na comunicação
Erros que agravam a crise
❌ Minimizar o incidente — "apenas alguns dados de menor relevância foram expostos" quando na realidade houve exposição de dados sensíveis. A verdade emerge eventualmente e a falta de transparência inicial é tratada como agravante.
❌ Usar linguagem técnica obscura — comunicados que precisam de um jurista para ser compreendidos não servem ao titular, que precisa entender qual é o risco e o que fazer.
❌ Prometer investigações sem prazo — "estamos investigando e comunicaremos quando tivermos mais informações" sem data gera ansiedade e desconfiança. Comprometer-se com uma atualização em prazo específico é mais eficaz.
❌ Enviar comunicação que parece phishing — links de clique, domínios desconhecidos no remetente, pedidos de login para "verificar os dados afetados". O timing de um incidente real é aproveitado por cibercriminosos para phishing, e a comunicação da empresa deve ser inconfundível.
❌ Não incluir canal de contato — o titular que recebe a comunicação e não sabe a quem ligar para tirar dúvidas é um titular que vai buscar o Procon, a ANPD ou a imprensa.
❌ Comunicar antes de ter informações básicas confirmadas — a comunicação prematura com informações imprecisas obriga a novos comunicados de correção, multiplicando a exposição.
Modelo de estrutura para a comunicação
[LINHA DE ASSUNTO]: Aviso importante sobre seus dados pessoais — [Nome da Empresa]
Prezado(a) [Nome do titular ou "Cliente"],
Comunicamos que identificamos um incidente de segurança ocorrido em [data],
que pode ter resultado no acesso não autorizado a alguns de seus dados pessoais.
O QUE ACONTECEU
[2-3 frases explicando o incidente de forma clara e objetiva]
QUAIS DADOS FORAM AFETADOS
[Nome, e-mail, CPF — listar as categorias específicas]
O QUE FIZEMOS
[Medidas de contenção tomadas: desativamos o acesso, bloqueamos o vetor de entrada,
estamos conduzindo investigação forense com [empresa especializada], comunicamos
a ANPD em [data].]
O QUE VOCÊ DEVE FAZER
• [Ação específica 1 — ex: troque sua senha no nosso site]
• [Ação específica 2 — ex: fique atento a e-mails suspeitos em seu nome]
• [Ação específica 3 — se aplicável]
DÚVIDAS E CONTATO
Nossa equipe está disponível para esclarecer qualquer dúvida:
E-mail: privacidade@empresa.com.br
Telefone: [número] — disponível de [dias e horários]
Pedimos desculpas pelo ocorrido e reforçamos nosso compromisso com a
proteção dos seus dados.
[Nome e cargo do responsável]
[Empresa]
[Data]
Comunicação a menores de idade
Quando os dados afetados incluem dados de crianças e adolescentes (Art. 14 da LGPD), a comunicação deve ser endereçada aos responsáveis legais (pais ou guardiões), não ao menor. A linguagem e as orientações devem ser adaptadas para que os responsáveis compreendam o risco específico para a criança.
Checklist da comunicação aos titulares
- O incidente foi avaliado como "risco relevante" para os titulares?
- O universo de afetados foi identificado com razoável precisão?
- A comunicação contém todos os elementos do Art. 48, §1º?
- A linguagem é compreensível para o titular médio (sem juridiquês)?
- A comunicação orienta o titular sobre o que ele deve fazer?
- Há canal de contato dedicado mencionado na comunicação?
- O remetente/identidade da empresa é inconfundível (não parece phishing)?
- A comunicação foi alinhada com o Jurídico e com o DPO antes do envio?
- A comunicação foi armazenada como evidência de conformidade (com data/hora de envio)?
- A ANPD foi notificada (no prazo de 3 dias úteis para notificação preliminar)?
Conclusão
A comunicação aos titulares afetados por um incidente de dados é ao mesmo tempo uma obrigação legal, um imperativo ético e um elemento crítico de gestão de crises. Organizações que comunicam com clareza, transparência e orientações concretas controlam melhor a narrativa, reduzem processos judiciais e demonstram à ANPD que levam a sério suas obrigações.
O pior cenário não é ter sofrido um incidente — é ter sofrido um incidente e responder mal: notificação tardia, comunicação obscura, ausência de canal de atendimento e postura defensiva. Esses comportamentos são avaliados pela ANPD no processo sancionatório como agravantes, e pelos titulares como justificativa para buscar reparação judicial.
A Confidata inclui em seu módulo de incidentes modelos de comunicação parametrizados, controle de envios com data e hora, e trilha de auditoria completa para demonstrar à ANPD que as obrigações do Art. 48 foram cumpridas.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.