LGPD Comentada #23: Segurança da Informação e Comunicação de Incidentes
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Nenhuma organização está imune a incidentes de segurança. Ransomware, phishing, acessos indevidos, erros humanos — a questão não é se um incidente vai acontecer, mas quando. O que a LGPD exige é que a organização esteja preparada: que adote medidas de segurança proporcionais ao risco antes do incidente, e que comunique a ANPD e os titulares quando o incidente ocorrer.
Os Arts. 46 a 49 da LGPD compõem o arcabouço normativo de segurança da informação aplicado à proteção de dados pessoais. Quatro artigos que, combinados com a Resolução CD/ANPD nº 15/2024 (Regulamento de Comunicação de Incidentes), definem obrigações concretas com prazos, conteúdos mínimos e consequências para quem descumprir.
Este post analisa cada dispositivo, apresenta a regulamentação da ANPD e examina casos reais de sanções aplicadas no Brasil.
Art. 46: medidas técnicas e administrativas de segurança
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
O dever de segurança
O caput do Art. 46 estabelece um dever amplo: proteger dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação indevida ou tratamento inadequado. A lista é extensa por design — cobre desde o ataque cibernético sofisticado até o e-mail enviado para o destinatário errado.
O dispositivo fala em medidas "técnicas e administrativas", o que abrange dois domínios:
Medidas técnicas: criptografia em repouso e em trânsito, controles de acesso granulares, autenticação multifator, firewalls, segmentação de rede, monitoramento de intrusão, backup criptografado, gestão de vulnerabilidades, testes de penetração.
Medidas administrativas: políticas de segurança da informação, classificação de dados, treinamentos periódicos, procedimentos de resposta a incidentes, gestão de acessos (provisão e revogação), auditorias internas, contratos com operadores incluindo requisitos de segurança.
§ 1º — padrões técnicos mínimos
A ANPD pode definir padrões técnicos mínimos — mas até o momento não publicou regulamento específico sobre isso. O § 1º ressalva que os padrões devem considerar a natureza das informações (dados sensíveis exigem mais), as características do tratamento (volume, finalidade, público) e o estado atual da tecnologia (o que era aceitável em 2020 pode ser insuficiente em 2026).
Na ausência de padrão regulatório específico, as organizações devem buscar referências em frameworks reconhecidos:
- ISO/IEC 27001 — Sistema de Gestão de Segurança da Informação (SGSI). É o padrão internacional mais adotado e serve como referência para o Art. 46.
- NIST Cybersecurity Framework 2.0 — framework do governo americano amplamente utilizado no Brasil, com crosswalk oficial mapeando seus controles aos artigos da LGPD.
- CIS Controls — controles práticos e priorizados, especialmente úteis para organizações menores.
§ 2º — privacy by design
O § 2º consagra o princípio do privacy by design (privacidade desde a concepção): as medidas de segurança devem ser incorporadas desde a fase de concepção do produto ou serviço — não como remendo posterior.
Na prática, isso significa:
- Novos sistemas devem incluir controles de privacidade na arquitetura (minimização de dados, controles de acesso, criptografia) antes do primeiro deploy.
- Novos produtos devem passar por avaliação de privacidade (privacy impact assessment) antes do lançamento.
- Novos processos de coleta de dados devem ser desenhados com a proteção de dados como requisito funcional, não como restrição.
O custo de incorporar privacidade desde o início é significativamente menor do que o custo de refatorar sistemas já em produção para atender à LGPD. Uma decisão arquitetural tomada na fase de design — como armazenar dados sensíveis em banco segregado — pode evitar meses de retrabalho e exposição a incidentes.
Art. 47: obrigação universal de proteção
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
O Art. 47 amplia o escopo da obrigação de segurança para além dos agentes de tratamento formais (controlador e operador). Qualquer pessoa que intervenha em qualquer fase do tratamento está obrigada a garantir a segurança dos dados — inclusive após o término do tratamento.
Isso abrange:
- Funcionários e contratados — colaboradores com acesso a dados pessoais, mesmo que não estejam formalmente designados como agentes de tratamento
- Prestadores de serviço — empresas de TI, consultores, auditorias com acesso temporário a sistemas
- Ex-colaboradores — a obrigação persiste mesmo após o desligamento (fundamentando cláusulas de confidencialidade em contratos de trabalho)
A expressão "mesmo após o seu término" é particularmente relevante. Dados pessoais retidos por obrigação legal (fiscal, trabalhista) continuam protegidos pelo dever de segurança. Uma empresa que mantém dados de ex-clientes por exigência regulatória não pode relaxar as medidas de proteção simplesmente porque a relação comercial acabou.
Art. 48: comunicação de incidentes de segurança
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
O dever de comunicar
O Art. 48 obriga o controlador (não o operador) a comunicar incidentes de segurança à ANPD e aos titulares afetados quando o incidente puder acarretar "risco ou dano relevante". A avaliação da relevância é do controlador — mas a ANPD pode discordar e determinar a comunicação posteriormente.
O que é um incidente de segurança
A Resolução CD/ANPD nº 15/2024 define incidente de segurança com dados pessoais como qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais, podendo decorrer de ações voluntárias ou acidentais.
Exemplos concretos:
- Confidencialidade: vazamento de dados por invasão, envio acidental de e-mail com dados para destinatário errado, exposição de banco de dados na internet
- Integridade: alteração não autorizada de registros de dados pessoais
- Disponibilidade: ransomware que criptografa banco de dados com informações pessoais, tornando-os inacessíveis
- Autenticidade: uso de credenciais comprometidas para acessar dados pessoais
§ 3º — a criptografia como atenuante
O § 3º do Art. 48 introduz um critério importante para a avaliação de gravidade: se os dados afetados estavam criptografados ou tornados ininteligíveis para terceiros não autorizados, isso é considerado um fator atenuante. Na prática, um vazamento de dados criptografados tem impacto menor — e pode até dispensar a comunicação ao titular, caso a ANPD entenda que o risco é mitigado pela criptografia.
Resolução CD/ANPD nº 15/2024: o regulamento de incidentes
A ANPD publicou em 24 de abril de 2024 a Resolução CD/ANPD nº 15/2024, que aprova o Regulamento de Comunicação de Incidente de Segurança (RCIS). Essa resolução é a regulamentação direta do Art. 48 e transforma as obrigações genéricas da lei em requisitos operacionais concretos.
Prazos
- 3 dias úteis — prazo para comunicação do incidente à ANPD e aos titulares, contados a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais.
- 20 dias úteis — prazo para enviar comunicação complementar com informações adicionais, a contar da comunicação inicial.
Conteúdo obrigatório da comunicação
A comunicação à ANPD deve conter, no mínimo:
- Descrição da natureza e categoria dos dados pessoais afetados
- Número de titulares afetados
- Medidas técnicas e de segurança utilizadas para proteção dos dados
- Riscos relacionados ao incidente e possíveis impactos aos titulares
- Motivos de eventual demora na comunicação (se ultrapassou 3 dias úteis)
- Medidas adotadas ou planejadas para mitigar os efeitos
- Data do incidente e data em que o controlador tomou conhecimento
- Dados de contato do encarregado (DPO)
Registro obrigatório
O controlador deve manter registro de todos os incidentes de segurança — inclusive daqueles que não foram comunicados à ANPD e aos titulares. O prazo de retenção do registro é de, no mínimo, 5 anos.
Esse requisito é fundamental: mesmo que um incidente seja avaliado como de baixo risco e não comunicado, a ANPD pode, posteriormente, solicitar o registro e avaliar se a decisão de não comunicar foi adequada.
Art. 49: sistemas estruturados para segurança
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
O Art. 49 fecha o capítulo com um dispositivo que conecta segurança, governança e princípios da LGPD. Os sistemas de tratamento não precisam apenas funcionar — precisam ser estruturados para atender requisitos de segurança e boas práticas.
Na prática, isso significa que:
- Sistemas legados que tratam dados pessoais sem controles de acesso adequados precisam ser atualizados ou substituídos
- Planilhas compartilhadas com dados pessoais sem proteção de acesso violam este artigo
- Sistemas desenvolvidos internamente devem passar por revisão de segurança antes de entrar em produção
- A escolha de fornecedores de software deve considerar os requisitos de segurança como critério de seleção
Casos reais: sanções aplicadas pela ANPD
A ANPD já aplicou sanções em processos administrativos diretamente relacionados aos Arts. 46 a 48. Os casos a seguir ilustram como a autoridade interpreta e aplica esses dispositivos.
Caso Telekall Infoservice (julho de 2023) — primeira multa da ANPD
A microempresa de telecomunicações Telekall Infoservice oferecia listagens de contatos de WhatsApp para disparo de mensagens eleitorais, com uma base de dados alegada de 130 milhões de pessoas. A ANPD aplicou a primeira multa por descumprimento da LGPD:
- Infração ao Art. 7º — tratamento de dados pessoais sem base legal válida
- Infração ao Art. 41 — ausência de encarregado (DPO)
- Multa: R$ 14.400 (limitada a 2% do faturamento bruto, por se tratar de microempresa)
- Advertência: pela ausência de DPO
Embora o valor da multa seja modesto, o caso estabeleceu o precedente de que a ANPD efetivamente aplica sanções — e que a ausência de DPO é infração autônoma.
Caso INSS (2024) — incidente de segurança e recusa de comunicação
Uma falha no Sistema de Benefícios Corporativos (SISBEN) do INSS resultou em mais de 90 milhões de consultas sem justificativa operacional, expondo dados como CPF, dados bancários e data de nascimento de aposentados e pensionistas. A falha envolveu o uso de credenciais válidas por meio de convênio entre INSS e AGU.
A ANPD:
- Determinou a publicização da infração na página inicial do site do INSS e no aplicativo Meu INSS, pelo prazo de 60 dias
- Exigiu a comunicação individual aos titulares afetados
- O INSS recorreu, argumentando impossibilidade de identificar quais dados foram acessados
- A ANPD negou o recurso e manteve a condenação — decisão inédita em segunda instância administrativa
O caso demonstrou que a ANPD não hesita em sancionar órgãos públicos (embora sem multa, conforme Art. 52 da LGPD) e que a recusa em comunicar um incidente agrava a situação do controlador.
Caso Secretaria de Educação do DF — SEEDF (janeiro de 2024)
A SEEDF expôs dados pessoais e de saúde de mais de 3.000 pessoas cadastradas no Programa de Educação Precoce, devido a falhas de segurança no formulário de inscrição do programa.
- Sanção: 4 advertências (por se tratar de órgão público, não cabe multa)
- Infrações: falha em medidas de segurança (Art. 46), exposição de dados sensíveis (saúde)
- Publicação: decisão publicada no DOU em 31 de janeiro de 2024
O caso reforça que dados de saúde (dado sensível) exigem medidas de segurança proporcionalmente mais rigorosas — e que a exposição de formulários públicos sem proteção adequada configura infração ao Art. 46.
Frameworks de referência para o Art. 46
Na ausência de padrões técnicos mínimos definidos pela ANPD (conforme previsto no § 1º do Art. 46), as organizações devem buscar referências em frameworks reconhecidos internacionalmente.
ISO/IEC 27001
O padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Define requisitos para estabelecer, implementar, manter e melhorar continuamente a segurança da informação. É o framework mais utilizado como referência para demonstrar conformidade com o Art. 46.
ISO/IEC 27701
Extensão da ISO 27001 para gestão de privacidade. Adiciona controles específicos para proteção de dados pessoais, mapeando requisitos da LGPD e do GDPR. A certificação ISO 27701 só pode ser obtida por organizações já certificadas na ISO 27001.
NIST Cybersecurity Framework 2.0
Framework do National Institute of Standards and Technology dos EUA. O escritório Prado Vidigal Advogados desenvolveu um crosswalk oficial, reconhecido pelo NIST, que mapeia cada controle do framework aos artigos correspondentes da LGPD — fornecendo um guia prático para implementação.
CIS Controls
Conjunto de 18 controles de segurança prioritizados, desenvolvidos pelo Center for Internet Security. Mais acessíveis que ISO 27001 para organizações menores, oferecem um caminho incremental para maturidade em segurança.
Privacy by design na prática: checklist
O § 2º do Art. 46 exige privacidade desde a concepção. Na prática, isso se traduz em perguntas que devem ser feitas antes do início de qualquer novo projeto, sistema ou processo:
| Pergunta | Objetivo |
|---|---|
| Quais dados pessoais são estritamente necessários? | Minimização (Art. 6º, III) |
| Os dados serão armazenados criptografados? | Proteção contra vazamento |
| Quem terá acesso? Por quanto tempo? | Menor privilégio |
| Existe mecanismo para o titular exercer seus direitos? | Atendimento ao Art. 18 |
| O que acontece com os dados quando o serviço for encerrado? | Término do tratamento (Art. 15) |
| O fornecedor de infraestrutura atende requisitos de segurança? | Responsabilidade do operador |
| Foi realizado RIPD? | Art. 38 para tratamentos de alto risco |
Erros mais comuns
| Erro | Risco | Correção |
|---|---|---|
| Não ter plano de resposta a incidentes documentado | Improviso no momento crítico; perda do prazo de 3 dias úteis | Elaborar e testar plano de resposta periodicamente |
| Avaliar todo incidente como "baixo risco" para evitar comunicar | ANPD pode discordar e aplicar sanção por omissão | Documentar critérios de avaliação de risco com base na Resolução nº 15/2024 |
| Não registrar incidentes não comunicados | Descumprimento do dever de registro (5 anos) | Manter registro de todos os incidentes, comunicados ou não |
| Implementar segurança apenas nos sistemas novos | Sistemas legados com dados pessoais expostos | Inventariar sistemas legados e aplicar controles proporcionais |
| Delegar toda a segurança ao fornecedor de cloud | Controlador continua responsável (Art. 44, parágrafo único) | Verificar controles do fornecedor, incluir requisitos no contrato (DPA) |
| Não criptografar dados sensíveis em repouso | Perda do atenuante do Art. 48, § 3º em caso de vazamento | Implementar criptografia como medida padrão para dados sensíveis |
Conclusão
Os Arts. 46 a 49 da LGPD não definem um checklist de controles técnicos — definem um dever de segurança proporcional ao risco. O controlador e o operador devem adotar medidas técnicas e administrativas compatíveis com a natureza dos dados, o volume de tratamento e o estado atual da tecnologia. A Resolução CD/ANPD nº 15/2024 transformou a obrigação genérica de comunicação de incidentes em regras concretas: 3 dias úteis para comunicar, conteúdo mínimo definido, registro obrigatório por 5 anos.
Os casos da Telekall, do INSS e da SEEDF demonstram que a ANPD aplica sanções tanto ao setor privado quanto ao público — e que a ausência de medidas de segurança adequadas e a recusa em comunicar incidentes agravam significativamente a posição do controlador.
A melhor proteção contra sanções não é torcer para que o incidente não aconteça — é estar preparado para quando acontecer. Plano de resposta testado, medidas de segurança documentadas, registro de incidentes atualizado e capacidade de comunicar à ANPD em 3 dias úteis.
A Confidata monitora automaticamente o inventário de atividades de tratamento, registra medidas de segurança por atividade e gera alertas para incidentes que exigem comunicação à ANPD — transformando o dever de segurança do Art. 46 em um processo gerenciável. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.