Um incidente de segurança com dados pessoais acontece. A pergunta que define o impacto não é “como evitar?” — é “sua operação consegue responder com evidência, no prazo certo, sem depender de reconstrução manual?” Para empresas com operações jurídicas complexas, múltiplos CNPJs e alto volume de tratamento de dados, a LGPD não é só uma obrigação regulatória. É um critério de gestão. E a notificação à ANPD é um dos momentos em que a maturidade dessa gestão fica mais exposta.
O que a LGPD define como incidente de segurança
A lei classifica como incidente qualquer acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, comunicação ou tratamento inadequado de dados pessoais. Isso inclui vazamento de dados, ataques externos, acessos indevidos por colaboradores, falhas técnicas e compartilhamentos não autorizados.
Na prática, o universo de situações é amplo. Um certificado digital acessado por alguém sem autorização, um documento com dados de clientes enviado para o destinatário errado, uma credencial comprometida por phishing — todos podem configurar incidente com obrigação de notificação.
O ponto crítico é que muitas empresas só descobrem a extensão de um incidente depois de muito tempo — justamente porque não têm rastreabilidade sobre quem acessou o quê e quando.
Quando a notificação à ANPD é obrigatória
Nem todo incidente precisa ser formalmente notificado. A obrigação existe quando o evento pode acarretar risco ou dano relevante aos titulares. A ANPD considera relevante qualquer situação que possa gerar:
- discriminação ou dano à reputação do titular
- prejuízo financeiro ou perda patrimonial
- comprometimento de sigilo profissional, médico ou bancário
- violação de dados de crianças, adolescentes ou pessoas vulneráveis
- qualquer impacto significativo sobre direitos e liberdades dos titulares
Se o incidente se enquadra em pelo menos uma dessas situações, a notificação é obrigatória — independente do porte da empresa ou do volume de dados afetados.
Os prazos que não podem ser ignorados
A LGPD estabelece que a comunicação ao titular e à ANPD deve ser feita em prazo razoável, interpretado pela própria autoridade como até 3 dias úteis a partir do conhecimento do incidente para a notificação inicial, com possibilidade de complementação posterior.
Esse prazo é curto. E empresas sem processo estruturado costumam perdê-lo — não por má-fé, mas por não conseguir apurar os fatos com rapidez suficiente. É exatamente aqui que a ausência de rastreabilidade deixa de ser só um problema de governança e vira um passivo regulatório concreto.
O que a ANPD espera receber na notificação inicial:
- Data e hora em que o incidente ocorreu e foi identificado
- Natureza dos dados afetados — categorias, sensibilidade e volume estimado
- Titulares impactados — quem são e quantos
- Medidas de contenção adotadas imediatamente após a descoberta
- Riscos identificados para os titulares
- Responsável pelo tratamento e canal de contato
Quanto mais organizada for a operação, mais rápida e completa será essa resposta.
Por que a maioria das empresas demora mais do que deveria
O problema não costuma ser falta de boa intenção. É falta de arquitetura operacional. Quando os dados circulam por planilhas paralelas, credenciais compartilhadas e sistemas sem trilha de auditoria, reconstituir o que aconteceu leva dias — e esses dias custam caro.
Três falhas operacionais tornam a resposta a incidentes mais lenta e arriscada:
- Ausência de rastreabilidade — sem registro de quem acessou o quê e quando, a empresa não consegue delimitar o perímetro do incidente. Fica difícil saber se 10 ou 10.000 registros foram afetados
- Acessos sem segregação — quando credenciais genéricas ou compartilhadas são a norma, identificar o vetor de comprometimento vira exercício de hipótese
- Processo de resposta inexistente — empresas sem plano de resposta a incidentes improvisam sob pressão. O resultado é notificação incompleta, comunicação inconsistente e exposição regulatória desnecessária
O que uma operação preparada faz diferente
Empresas que respondem bem a incidentes de LGPD não têm sorte. Têm processo. A diferença está em três capacidades que precisam existir antes do incidente acontecer:
Rastreabilidade em tempo real — saber exatamente quem acessou cada dado, em qual sistema, com qual finalidade e em qual momento.
Controle de acesso por perfil — cada usuário, fornecedor ou parceiro acessa apenas o necessário. Isso reduz a superfície de exposição e facilita a delimitação do incidente quando ele ocorre.
Plano de resposta documentado — fluxo claro de quem aciona quem, quais medidas de contenção entram em operação imediatamente, quem assina a notificação e quais canais são ativados para comunicação com a ANPD e com os titulares.
É nesse ponto que o Whom.doc9 muda a equação para operações jurídicas. A plataforma centraliza a gestão de certificados digitais e acessos com rastreabilidade completa de cada ação — gerando o histórico detalhado que a ANPD exige e que sua equipe precisa para responder com velocidade e precisão, não com suposição.
Depois da notificação: o que a ANPD pode fazer
A notificação não encerra o processo. A ANPD pode solicitar informações complementares, instaurar processo administrativo e, dependendo da gravidade e da conduta da empresa, aplicar sanções. As penalidades previstas incluem advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados afetados e publicização da infração.
O que mais pesa na avaliação da autoridade não é o incidente em si, mas a resposta. Empresas que demonstram controle, rastreabilidade e ação imediata de contenção têm tratamento diferenciado de empresas que chegam à ANPD sem evidência, sem processo e sem capacidade de explicar o que aconteceu.
Conformidade, nesse contexto, não é só cumprir a lei. É conseguir provar que você a cumpre — com dados, registros e processo. Não com promessa.
LGPD como critério de operação, não de checklist
Empresas que tratam a LGPD como obrigação periférica assumem dois riscos ao mesmo tempo: o regulatório e o operacional. Porque uma operação sem rastreabilidade, sem controle de acesso e sem padronização não falha só na ANPD. Ela falha todos os dias, de formas que nem sempre aparecem nos relatórios.
A maturidade em proteção de dados não é um projeto com data de encerramento. É uma capacidade que se constrói na arquitetura da operação — e que, quando bem feita, entrega algo além da conformidade: controle real, resposta rápida e operação que escala sem acumular risco.
Sua operação consegue responder um incidente de LGPD com rastreabilidade e dentro do prazo? Descubra como o Whom.doc9 estrutura controle e auditoria para operações jurídicas que não podem errar.
