Legislação e ANPD13 min de leitura

Incidente de Segurança ANPD: Prazo de 3 Dias e Como Notificar

Equipe Confidata·
Compartilhar

Uma violação de dados pessoais ocorre. O que o controlador é obrigado a fazer, quando, e como? Essas perguntas, que antes dependiam de interpretação do Art. 48 da LGPD, têm agora resposta detalhada na Resolução CD/ANPD Nº 15, de 24 de abril de 2024 — o Regulamento de Comunicação de Incidente de Segurança (RCIS).

Este guia explica o fluxo completo de notificação: desde o momento em que o incidente é descoberto até o fechamento do processo.

O que é um incidente de segurança que obriga notificação

O Art. 48, §1º da LGPD define o incidente de notificação obrigatória como aquele que possa acarretar risco ou dano relevante aos titulares. A Resolução CD/ANPD Nº 15/2024 (Art. 4º) detalha os critérios para essa avaliação.

Critérios de avaliação (Art. 4º da Resolução 15/2024)

O controlador deve avaliar todos os fatores abaixo para determinar se o incidente atinge o limiar de notificação:

CritérioO que avaliar
Natureza e sensibilidade dos dadosDados sensíveis (saúde, biometria, origem étnica), dados financeiros, dados de crianças elevam o risco
Número de titulares afetadosQuanto maior o volume, maior o risco de dano em escala
Facilidade de identificaçãoDados que permitem identificação direta têm risco maior do que dados anonimizados
Consequências prováveisPotencial de discriminação, fraude, dano financeiro, dano reputacional, violência
Perfil dos titulares afetadosGrupos vulneráveis (crianças, idosos, pessoas em situação de risco) elevam o risco
Natureza do incidenteAcesso não autorizado, divulgação indevida, alteração, destruição
Medidas de segurança aplicadasDados criptografados têm risco menor; dados sem proteção, risco maior

Se a avaliação indicar que o incidente pode causar risco ou dano relevante, a notificação é obrigatória.

O que não é um incidente de notificação obrigatória

  • Incidente que afetou apenas dados que não eram dados pessoais
  • Incidente cujo impacto foi completamente contido antes de qualquer acesso externo
  • Incidente com dados completamente criptografados e sem exposição da chave
  • Incidente de escopo mínimo com impacto irrelevante para os titulares (ex: acesso acidental a um único registro por colaborador autorizado, sem reprodução ou divulgação)

Atenção: mesmo quando o incidente não atinge o limiar de notificação obrigatória, ele deve ser registrado internamente — com a avaliação que levou à conclusão de não notificar. Esse registro é a prova de que houve análise, não omissão.

O prazo: 3 dias úteis a partir do conhecimento

O Art. 5º da Resolução CD/ANPD Nº 15/2024 estabelece:

"A comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica."

"Dias úteis": o prazo exclui sábados, domingos e feriados nacionais. Um incidente descoberto na sexta-feira tem prazo até quarta-feira da semana seguinte (3 dias úteis), não até segunda-feira.

"A partir do conhecimento": o prazo começa a correr quando o controlador toma conhecimento de que o incidente afetou dados pessoais. Não basta descobrir que houve um incidente de segurança — o prazo é acionado quando a vinculação a dados pessoais é identificada.

Agentes de pequeno porte: para os controladores enquadrados como agentes de tratamento de pequeno porte (Resolução CD/ANPD Nº 2/2022), o prazo é contado em dobro: 6 dias úteis.

Comunicação incompleta: se o controlador não dispõe de todas as informações necessárias no prazo de 3 dias úteis, deve realizar a comunicação preliminar com as informações disponíveis e complementar posteriormente — não deve aguardar ter todas as informações para notificar.

A comunicação preliminar: o que deve conter

A comunicação à ANPD deve ser feita por formulário eletrônico disponível no portal da ANPD (gov.br/anpd). O formulário solicita, no mínimo:

Sobre o controlador:

  • Identificação (CNPJ, razão social)
  • Dados de contato do responsável pela comunicação
  • Dados de contato do encarregado (DPO)

Sobre o incidente:

  • Data e hora do descobrimento do incidente
  • Descrição do que ocorreu (natureza do incidente: acesso não autorizado, vazamento, destruição, etc.)
  • Causa provável (se já identificada)
  • Sistemas e ambientes afetados

Sobre os dados e titulares:

  • Categorias de dados pessoais afetados (dados comuns, sensíveis, de crianças etc.)
  • Volume estimado de titulares afetados (pode ser estimativa na comunicação preliminar)
  • Perfil dos titulares (clientes, colaboradores, pacientes etc.)

Sobre as medidas:

  • Medidas de contenção adotadas imediatamente
  • Medidas preventivas adotadas após o incidente
  • Se houve comunicação aos titulares e, em caso negativo, os motivos

O relatório complementar: 20 dias úteis

Quando a comunicação preliminar for incompleta — o que é permitido e esperado em incidentes complexos —, o controlador tem 20 dias úteis a partir da data da comunicação preliminar para complementar as informações.

Atenção: o prazo é de 20 dias úteis (não dias corridos). Em um mês sem feriados, isso equivale a aproximadamente 4 semanas.

O relatório complementar deve preencher as lacunas da comunicação preliminar:

  • Causa raiz do incidente (se identificada)
  • Volume final de titulares afetados
  • Tipos exatos de dados comprometidos
  • Histórico detalhado do incidente (linha do tempo)
  • Medidas técnicas e organizacionais adicionais implementadas
  • Resultado da análise do impacto sobre os titulares

A comunicação aos titulares afetados

Além da notificação à ANPD, o Art. 48, §1º da LGPD prevê a obrigação de comunicação aos próprios titulares afetados quando o incidente possa lhes causar risco ou dano relevante.

A Resolução CD/ANPD Nº 15/2024 estabelece que a comunicação aos titulares deve ocorrer sem demora injustificada — não há prazo específico em dias, mas o critério de urgência se aplica: titulares em risco imediato (ex: risco de fraude financeira iminente) devem ser notificados com ainda mais urgência do que nos casos de risco difuso.

Formas de comunicação individual:

  • E-mail direto ao titular (preferencial)
  • Correspondência física
  • Comunicação por aplicativo ou plataforma do controlador

Quando a comunicação individual é inviável (ex: número muito elevado de titulares, dados de contato desatualizados), a ANPD pode autorizar a comunicação coletiva — por exemplo, publicação em site oficial ou comunicado à imprensa. Essa alternativa depende de avaliação prévia e justificativa.

O que comunicar ao titular:

  • Que houve um incidente
  • Quais dados seus foram afetados
  • Que medidas a organização tomou
  • Que medidas o titular pode tomar para se proteger
  • Como entrar em contato com o DPO

O cronograma operacional em um incidente real

Hora 0 — Incidente descoberto
  ↓
Horas 0-4 — Contenção imediata: isolar sistemas, interromper vazamento
  ↓
Horas 4-24 — Avaliação inicial: há dados pessoais afetados?
  ↓
Se sim:
  ↓
Dia 1 — Acionar equipe de resposta a incidentes, DPO, jurídico
  ↓
Dia 1-2 — Avaliação de risco: atingiu o limiar de notificação?
  ↓
Se sim:
  ↓
3º DIA ÚTIL — Comunicação preliminar à ANPD (formulário eletrônico)
  ↓
Dias 3-20 (úteis) — Investigação aprofundada: causa raiz, escopo total
  ↓
20º DIA ÚTIL — Relatório complementar à ANPD
  ↓
Paralelo — Comunicação aos titulares afetados (sem demora injustificada)
  ↓
Pós-incidente — Análise de causa raiz, medidas corretivas, registro interno

Erros que comprometem a notificação

Aguardar investigação completa para notificar

O prazo de 3 dias úteis não pode esperar a conclusão da investigação. A Resolução 15/2024 prevê exatamente a comunicação preliminar com informações incompletas, a ser complementada em até 20 dias úteis. Aguardar o fim da análise técnica para então notificar é uma violação do prazo — e um agravante na dosimetria da ANPD.

Notificar apenas se houver certeza

A obrigação de notificação não exige certeza do impacto — exige que o incidente possa acarretar risco ou dano relevante. A palavra-chave é "potencial". Diante de dúvida genuína, a posição mais segura é notificar.

Não comunicar os titulares ou fazê-lo apenas pro forma

A comunicação ao titular deve ser substantiva — descrever o que ocorreu, quais dados foram afetados e o que o titular pode fazer. Uma comunicação genérica e vaga, que não permite ao titular avaliar o risco e tomar medidas protetivas, não cumpre o objetivo do Art. 48.

Falta de registro da decisão de não notificar

Quando o incidente é avaliado e concluído que não atinge o limiar de notificação, essa conclusão deve ser documentada. Registre: o que ocorreu, quais dados foram afetados, a avaliação dos critérios de risco e a conclusão. Isso demonstra diligência — e é a única defesa se a avaliação for questionada posteriormente.

O que a ANPD avalia em uma fiscalização pós-incidente

Em uma fiscalização desencadeada por incidente, a ANPD verifica:

  1. O controlador identificou o incidente em tempo razoável? Ausência de monitoramento adequado é um indício de inadequação das medidas de segurança.

  2. A avaliação de risco foi realizada e documentada? A análise dos critérios do Art. 4º da Resolução 15/2024 deve constar nos registros.

  3. A notificação ocorreu dentro do prazo? Qualquer atraso injustificado é uma violação independente do incidente em si.

  4. O conteúdo da notificação era adequado e completo? Omissões significativas, mesmo em comunicações preliminares, são avaliadas negativamente.

  5. Os titulares foram comunicados adequadamente? Se sim, como e quando; se não, por qual razão justificada.

  6. Quais medidas foram tomadas para conter o incidente e prevenir recorrências? A adoção de medidas corretivas é considerada atenuante na dosimetria de sanções.

Conclusão

A Resolução CD/ANPD Nº 15/2024 transformou a obrigação genérica do Art. 48 da LGPD em um protocolo concreto: 3 dias úteis para a comunicação preliminar, 20 dias úteis para o relatório complementar, formulário eletrônico no portal da ANPD, critérios claros de avaliação do limiar de notificação.

Cumprir esse protocolo não é apenas uma obrigação legal — é a diferença entre ser avaliado como um controlador diligente ou negligente em uma investigação da ANPD. Organizações com plano de resposta a incidentes documentado, equipe treinada e registros atualizados estão em posição muito mais sólida quando um incidente ocorre.

O incidente que nenhuma organização quer ter pode acontecer com qualquer uma. O que distingue as que saem bem da situação é o que fizeram antes — e o quão rápido e corretamente agiram depois.

A Confidata centraliza o registro e gestão de incidentes de segurança com dados pessoais, com fluxo integrado de avaliação de risco, geração de comunicações à ANPD e acompanhamento de prazos. Conheça como organizamos a resposta a incidentes de forma auditável.

Compartilhar
#incidente de segurança#ANPD#notificação#LGPD#vazamento de dados#comunicação#DPO

Artigos relacionados

Avaliação de Impacto (AIPD) para produtos acessíveis por menores: guia práticoLegislação e ANPD · 14 minECA Digital e LGPD: como as duas leis se complementam na proteção de menoresLegislação e ANPD · 13 minLGPD em 2026: o que a ANPD espera das organizações brasileirasLegislação e ANPD · 10 minANPD Agência Reguladora: O Que Muda na Fiscalização em 2026Legislação e ANPD · 13 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista