Comunicação de incidente de segurança na LGPD: critérios de relevância, prazos e registros 

Incidente de segurança envolvendo dados pessoais não deve ser tratado como um evento “de TI” no sentido restrito do termo. Para efeitos de governança e responsabilidade, trata-se de qualquer ocorrência, acidental ou ilícita, capaz de comprometer a confidencialidade, a integridade, a disponibilidade ou a autenticidade de dados pessoais. Na prática, isso abrange desde situações prosaicas, como o envio equivocado de uma planilha por e-mail, até cenários mais graves, como credenciais vazadas, acesso indevido a sistemas, exposição de bases em nuvem, falhas de API, ransomware, extravio de equipamentos e exportações não autorizadas de informações por colaboradores. 

O ponto relevante é que, quando há dados pessoais, o incidente passa a ter consequências simultâneas em três planos: proteção do titular, risco reputacional e exposição regulatória. A LGPD impõe o dever de comunicação à autoridade e ao titular quando o evento puder acarretar risco ou dano relevante. Esse dever não existe para “gerar papel”, mas para assegurar resposta tempestiva, mitigação de impactos e demonstrabilidade de diligência. 

Com a finalidade de reduzir incertezas operacionais, a ANPD aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS), pela Resolução CD/ANPD nº 15/2024, estabelecendo prazos, conteúdo mínimo e exigências de registro. O regulamento tornou o componente temporal mais objetivo, mas não eliminou a dimensão interpretativa do problema: a qualificação do que seja, no caso concreto, “risco ou dano relevante” continua sendo a principal zona cinzenta da resposta a incidentes. Por essa razão, decisões improvisadas, tomadas sob pressão, tendem a produzir duas falhas recorrentes e igualmente prejudiciais: a não comunicação quando ela era exigida, ou a comunicação desorganizada, sem consistência e sem prova. 

A lógica do RCIS começa, portanto, por uma pergunta que deve ser enfrentada cedo, com método e com registro: este evento tem potencial de gerar risco ou dano relevante ao titular? A resposta a essa pergunta define se há dever de comunicar, coloca o cronômetro para correr e condiciona todo o restante do procedimento. 

Critério de relevância: risco ou dano relevante 

Toda resposta a incidente pressupõe uma avaliação de relevância. Se a conclusão for de que não há risco ou dano relevante, pode não existir dever de comunicação, mas permanecem intactos os deveres de contenção, correção, mitigação e registro do ocorrido. Se a conclusão for de que há risco ou dano relevante, a comunicação deixa de ser opção e passa a ser obrigação, com prazos definidos, conteúdo mínimo e necessidade de demonstrar o raciocínio adotado. 

O RCIS procura tornar essa avaliação mais consistente ao estruturar um teste de dupla verificação. Em primeiro lugar, o incidente precisa ter potencial de afetar significativamente interesses e direitos fundamentais dos titulares, isto é, não se trata de mero aborrecimento ou inconveniente, mas de consequências concretas e plausíveis, como fraude, roubo de identidade, prejuízo financeiro, constrangimento público, discriminação ou perda real de controle sobre informações íntimas. Em segundo lugar, além desse potencial de impacto, o evento deve envolver ao menos um fator agravante que eleva a probabilidade ou a intensidade do dano, como a presença de dados sensíveis, a inclusão de crianças, adolescentes ou idosos, a exposição de dados financeiros, a compromissão de dados de autenticação, a incidência de sigilos legais, judiciais ou profissionais, ou, ainda, o tratamento em larga escala. 

Essa combinação é o que separa o “incidente administrável” do “incidente relevante” para fins de comunicação. Não se trata de uma etiqueta retórica, mas de um juízo técnico que deve ser sustentado por evidências mínimas, por critérios internos previamente definidos e por registro do caminho decisório, de modo que a organização consiga justificar a decisão tomada, inclusive quando optar pela não comunicação. 

Prazos aplicáveis 

Os prazos do RCIS não contam a partir do “dia do ataque”, nem do momento em que a equipe técnica iniciou a investigação. Eles passam a correr quando o controlador toma conhecimento de que o incidente, de fato, afetou dados pessoais. A partir desse marco, a comunicação à ANPD deve ocorrer em três dias úteis, e a comunicação aos titulares, quando exigida, também deve ser feita em três dias úteis. Em termos operacionais, o regulamento impõe uma resposta rápida e organizada: a organização precisa ser capaz de confirmar a existência de dados pessoais envolvidos, delimitar o escopo do evento e decidir com base em evidências, porque o relógio não espera a investigação ficar “perfeita”. 

Como a apuração completa nem sempre é viável em prazo tão curto, o RCIS admite que informações sejam prestadas inicialmente e complementadas de forma fundamentada em até vinte dias úteis, contados da comunicação à ANPD. Isso não deve ser tratado como licença para mensagens genéricas. A comunicação inicial precisa conter elementos mínimos e medidas já em curso, e a complementação deve fechar as lacunas com consistência, coerência interna e aderência às evidências coletadas. Para agentes de pequeno porte, aplica-se o regime específico previsto na regulamentação pertinente, de modo que a organização deve validar previamente quais prazos e ritos se aplicam ao seu enquadramento. 

Conteúdo mínimo da comunicação à ANPD 

A comunicação à ANPD precisa apresentar um núcleo informacional que permita à autoridade compreender o que ocorreu, o que foi exposto, quem foi afetado e quais medidas foram adotadas. Em termos práticos, espera-se a descrição do incidente e, na medida do possível, de sua causa principal; a indicação da natureza e das categorias de dados pessoais envolvidas; a estimativa do número de titulares afetados e a caracterização de grupos vulneráveis quando aplicável; as datas relevantes do evento e do momento de conhecimento; as medidas técnicas e de segurança existentes antes do incidente e as providências implementadas após a detecção; a avaliação de riscos e impactos; as ações de mitigação executadas e planejadas; a identificação do controlador, do encarregado e, quando houver, do operador envolvido, além de informações que contextualizem a atividade de tratamento afetada. 

Dois pontos merecem atenção, porque são frequentemente tratados de forma superficial e acabam agravando a exposição. O primeiro é que a ANPD pode demandar documentação e informações adicionais, inclusive registros de operações de tratamento e relatórios de avaliação de impacto, de modo que o conteúdo comunicado precisa ser compatível com aquilo que a organização conseguirá sustentar depois, por meio de evidências e registros. O segundo é que o RCIS pressupõe canal e formulário próprios para comunicação, o que exige preparo interno para protocolar corretamente e manter a trilha documental do envio. 

Conteúdo mínimo e forma da comunicação ao titular 

A comunicação ao titular tem finalidade distinta: informar com clareza o que ocorreu, quais dados podem ter sido impactados, quais riscos são plausíveis e quais medidas o controlador está adotando, além de indicar orientações úteis para reduzir danos. Por isso, ainda que o conteúdo mínimo se aproxime do comunicado à ANPD, ele deve ser estruturado em linguagem simples, com foco na compreensão e na utilidade prática. Em termos gerais, a mensagem deve indicar as categorias de dados envolvidas, as medidas de segurança e de mitigação adotadas, os riscos e impactos possíveis, a data de conhecimento do incidente e canais de contato do controlador e do encarregado. 

Sempre que viável, a comunicação deve ser individualizada e encaminhada pelos meios usuais do controlador. Quando isso for inviável, seja pela impossibilidade de identificar parte dos afetados, seja por limitações concretas de contato, o RCIS admite divulgação por canais disponíveis, com fácil visualização, por período mínimo de três meses, além da necessidade de registrar e declarar os meios utilizados. O elemento central, porém, permanece o mesmo: comunicar ao titular não é “nota de imprensa”, mas um ato de transparência tecnicamente responsável, em que fatos, riscos e orientações são apresentados de modo compreensível, sem omissões relevantes e sem promessas vazias. 

Responsabilidades do controlador e do operador e disciplina contratual 

O dever de comunicação à ANPD e aos titulares recai sobre o controlador, mas a operação do tratamento frequentemente envolve operadores e suboperadores, o que torna a disciplina contratual decisiva para a velocidade e a qualidade da resposta. O operador, em particular, deve informar o controlador sem demora injustificada e cooperar com a coleta de informações necessárias para qualificação do evento e eventual comunicação. 

Nesse contexto, contratos que não estabelecem prazos de notificação, deveres de cooperação, fornecimento de evidências, responsabilidades na contenção e regras claras sobre subcontratação tendem a produzir resposta lenta, fragmentada e pouco demonstrável, com aumento do risco regulatório e reputacional. Uma resposta adequada não nasce no dia do incidente; ela depende de obrigações previamente pactuadas, fluxos definidos e pontos de contato responsáveis. 

Registro do incidente e retenção mínima 

Mesmo quando a organização conclui que não houve risco ou dano relevante e, por isso, não realiza comunicação, o RCIS exige registro do incidente por período mínimo de cinco anos, com informações suficientes para reconstruir o ocorrido e o raciocínio decisório. Esse registro deve permitir, de forma auditável, identificar quando o controlador tomou conhecimento, quais circunstâncias foram verificadas, quais categorias de dados estavam envolvidas, quantos titulares foram potencialmente afetados, qual foi a avaliação de risco e dano, quais medidas de correção e mitigação foram adotadas e, se houver comunicação, qual foi o conteúdo e a forma de envio; caso não haja comunicação, o registro deve demonstrar os motivos da não comunicação. 

Em termos de governança, o registro é a ponte entre o que a organização diz ter feito e o que ela consegue efetivamente provar. Sem documentação, a resposta a incidente se converte em narrativa; com documentação, ela se torna demonstrável. 

Procedimento interno de resposta nas primeiras 72 horas 

Uma resposta madura a incidentes não depende de heroísmo, mas de sequência. Nas primeiras horas, a prioridade é conter o vetor e preservar evidências: isolar acessos comprometidos, revogar credenciais, estabilizar sistemas, preservar logs e estabelecer uma linha do tempo mínima do ocorrido. Essa etapa precisa ser executada com cautela para não destruir indícios e para permitir posterior reconstrução técnica e jurídica do evento. 

Em seguida, deve-se realizar a triagem orientada à LGPD, confirmando se houve dados pessoais envolvidos, quais categorias, quais sistemas e quais operações de tratamento foram afetadas, bem como qual foi o tipo de comprometimento observado (confidencialidade, integridade, disponibilidade ou autenticidade), incluindo sinais de exfiltração, acesso indevido persistente ou manipulação de registros. 

Com essas informações iniciais, a organização aplica o critério de relevância do RCIS e decide, com registro, se há risco ou dano relevante e se há obrigação de comunicar. A partir daí, inicia-se a preparação das comunicações, já com medidas de mitigação em curso, delimitação do público potencialmente afetado e definição do conteúdo mínimo, reservando-se a complementação para fechar lacunas inevitáveis da investigação. Paralelamente, o registro do incidente deve ser aberto e atualizado desde o início, porque ele sustentará a consistência do que foi comunicado e a capacidade de resposta a eventual demanda da ANPD. 

Rastreabilidade e demonstrabilidade 

No campo de incidentes, a pergunta que mais importa não é apenas “o que aconteceu”, mas “como a organização decidiu e agiu”. Se a ANPD questionar por que houve comunicação, por que não houve comunicação, ou por que o conteúdo comunicado foi estruturado de determinada forma, a organização precisa ser capaz de apresentar, sem improviso, uma linha do tempo consistente, a aplicação do critério de relevância, o registro completo do incidente e a evidência das medidas de mitigação executadas. Quando esses elementos faltam, a tendência é a racionalização posterior; quando eles existem, a resposta se sustenta em método.