Home > Conhecimento > Notificação de Incidentes à ANPD > Notificação de Incidentes à ANPD em 2026: O Framework Definitivo para Empresas Brasileiras
A notificação de incidentes de segurança envolvendo dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD) deixou de ser um tema jurídico periférico e passou a ocupar o centro da estratégia de risco das empresas brasileiras. Em 2024, o Verizon Data Breach Investigations Report (DBIR) apontou que mais de 30 mil incidentes foram analisados globalmente, com milhares de violações confirmadas. O IBM X-Force Threat Intelligence Index 2024 destacou que o Brasil permanece entre os países mais atacados da América Latina, com crescimento consistente de ransomware e exploração de credenciais válidas.
Nesse contexto, a LGPD estabelece obrigação clara de comunicação à ANPD e aos titulares sempre que houver incidente que possa acarretar risco ou dano relevante. O desafio não é apenas técnico, mas estratégico: identificar o que é notificável, quando comunicar, como estruturar evidências e como alinhar essa prática a frameworks como NIST CSF 2.0, ISO 27001:2022, MITRE ATT&CK v14 e CIS Controls v8.
Este é o guia mais completo para o mercado brasileiro sobre notificação de incidentes à ANPD. Aqui você encontrará fundamentos legais, prazos, critérios de avaliação de risco, erros comuns, benchmarks internacionais e um framework operacional aplicável a empresas de todos os portes.
O Que a LGPD Exige Sobre Notificação de Incidentes
A Lei nº 13.709/2018 (LGPD), em seu artigo 48, determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. O texto legal, embora conciso, abriu espaço para regulamentações complementares e interpretações técnicas.
A ANPD publicou normas e orientações que detalham critérios, prazos e conteúdo mínimo da notificação. A regra geral estabelece que a comunicação deve ocorrer em prazo razoável, definido em regulamento específico como até dois dias úteis após a ciência do incidente, salvo justificativa fundamentada. Esse ponto é crítico: o marco temporal não é a ocorrência do ataque, mas a ciência inequívoca do incidente.
Além do prazo, a comunicação deve conter informações como natureza dos dados afetados, número de titulares envolvidos, medidas técnicas e de segurança utilizadas, riscos relacionados ao incidente e providências adotadas para mitigação. A ausência ou insuficiência de informações pode gerar diligências adicionais e agravar a percepção regulatória sobre a maturidade da empresa.
Nota importante: A obrigação de notificar não depende da confirmação de vazamento externo. Basta que haja incidente que possa gerar risco ou dano relevante, mesmo que o evento esteja contido internamente.
Conceito de Risco ou Dano Relevante
O conceito de risco ou dano relevante é central para decidir se o incidente deve ser notificado. Ele envolve análise contextual: tipo de dado (sensível ou não), volume, facilidade de identificação dos titulares, medidas de proteção aplicadas (criptografia, anonimização) e probabilidade de uso indevido.
Dados sensíveis, como informações de saúde, biometria, orientação religiosa ou política, elevam automaticamente o patamar de risco. Informações financeiras ou credenciais de acesso também são consideradas de alto impacto, principalmente diante do cenário descrito pelo DBIR 2024, que aponta o uso de credenciais comprometidas como vetor dominante em violações.
Empresas que não possuem metodologia formal de avaliação de risco tendem a subnotificar ou supernotificar, ambos comportamentos problemáticos. A supernotificação pode indicar descontrole; a subnotificação, negligência.
Diferença Entre Incidente e Vazamento
Nem todo incidente é um vazamento público. Incidente é qualquer evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais. Já o vazamento pressupõe exposição não autorizada.
Ataques de ransomware, por exemplo, podem inicialmente comprometer disponibilidade. Contudo, segundo o IBM X-Force 2024, mais de 20% das campanhas recentes combinam criptografia com exfiltração de dados, aumentando a probabilidade de obrigação de notificação.
A classificação correta exige integração entre equipes jurídicas, de segurança da informação e de governança de dados.
Panorama de Ameaças no Brasil e Impacto na Obrigação de Notificar
O Brasil é alvo recorrente de ataques cibernéticos. Relatórios da IBM e da Fortinet indicam que o país lidera tentativas de ataque na América Latina. O crescimento do ransomware e do phishing direcionado amplia o número de eventos potencialmente notificáveis.
O Verizon DBIR 2024 destacou que o elemento humano está presente na maioria das violações, seja por erro, engenharia social ou uso indevido de privilégios. Isso significa que incidentes internos, como envio indevido de planilhas com dados pessoais, também podem gerar obrigação de notificação.
A ANPD já divulgou comunicados públicos sobre incidentes envolvendo órgãos públicos e empresas privadas, reforçando que a transparência é parte essencial do regime de proteção de dados.
Dado relevante: O relatório Cost of a Data Breach 2023 do Ponemon Institute, patrocinado pela IBM, apontou custo médio global de US$ 4,45 milhões por violação, sendo que empresas com planos de resposta testados reduziram significativamente esse valor.
Setores Mais Expostos
Setores como saúde, financeiro, educação e varejo digital concentram grandes volumes de dados pessoais e sensíveis. A combinação de alto valor informacional e superfícies de ataque amplas eleva o risco regulatório.
No setor público, incidentes envolvendo bases governamentais geraram repercussão nacional, pressionando a ANPD a intensificar sua atuação fiscalizatória.
Organizações que operam infraestruturas críticas enfrentam ainda requisitos adicionais de segurança e governança.
Prazos e Procedimentos Formais de Comunicação à ANPD
A regulamentação da ANPD define que a notificação deve ocorrer em até dois dias úteis após a ciência do incidente. O descumprimento pode ser interpretado como agravante em eventual processo sancionador.
A comunicação é realizada por meio de formulário eletrônico disponibilizado pela Autoridade. Informações incompletas podem ser complementadas posteriormente, desde que haja justificativa plausível.
A empresa deve manter registro documental do processo decisório, inclusive quando optar por não notificar. Esse registro é fundamental em auditorias ou fiscalizações futuras.
| Elemento Obrigatório | Descrição | Base Legal |
|---|---|---|
| Natureza dos dados | Tipos de dados afetados | LGPD art. 48 |
| Titulares afetados | Número estimado | Regulamento ANPD |
| Medidas técnicas | Controles existentes | LGPD art. 46 |
| Riscos envolvidos | Avaliação fundamentada | Princípio da responsabilização |
| Mitigações adotadas | Ações corretivas | Boas práticas de governança |
Comunicação aos Titulares
Além da ANPD, os titulares devem ser comunicados quando houver risco ou dano relevante. A linguagem deve ser clara, objetiva e acessível, evitando termos excessivamente técnicos.
A omissão ou comunicação genérica pode caracterizar violação aos princípios da transparência e da boa-fé.
Multas, Sanções e Responsabilização
A LGPD prevê multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além da multa simples, há possibilidade de advertência, bloqueio ou eliminação de dados pessoais e publicização da infração.
A ANPD já aplicou sanções administrativas em casos envolvendo falhas de segurança e ausência de indicação de encarregado. O histórico regulatório demonstra que a Autoridade considera a postura colaborativa e a existência de programa estruturado de governança.
Aviso de segurança: Ignorar ou atrasar a notificação pode agravar penalidades e aumentar a exposição reputacional, especialmente quando o incidente se torna público por terceiros.
Integração com NIST CSF 2.0 e ISO 27001:2022
O NIST CSF 2.0 estrutura a gestão de segurança em funções como Govern, Identify, Protect, Detect, Respond e Recover. A notificação à ANPD está diretamente relacionada à função Respond, especialmente na categoria de comunicação.
A ISO 27001:2022 exige processo formal de gestão de incidentes (Anexo A 5.24 e 5.25), incluindo comunicação interna e externa apropriada.
Organizações certificadas possuem vantagem competitiva, pois já mantêm trilhas de auditoria e processos documentados.
MITRE ATT&CK v14 e Análise Técnica do Incidente
O MITRE ATT&CK v14 permite mapear técnicas utilizadas pelo atacante, como phishing (T1566) ou exfiltração por canal web (T1041). Esse mapeamento fortalece a análise de causa raiz.
Ao relacionar o incidente às técnicas conhecidas, a empresa demonstra diligência técnica perante a ANPD.
Essa prática também contribui para melhoria contínua do programa de segurança.
CIS Controls v8 como Base Preventiva
Os CIS Controls v8 fornecem salvaguardas prioritárias, como inventário de ativos, gestão de vulnerabilidades e controle de privilégios.
Empresas que implementam os controles essenciais reduzem significativamente a probabilidade de incidentes notificáveis.
A adoção estruturada desses controles serve como evidência de boas práticas.
Processo Interno de Decisão: Notificar ou Não?
A decisão deve ser baseada em matriz de risco documentada. Critérios objetivos reduzem subjetividade.
| Critério | Baixo Risco | Alto Risco |
|---|---|---|
| Tipo de dado | Não sensível | Sensível |
| Criptografia | Forte | Ausente |
| Volume | Limitado | Massivo |
| Probabilidade de uso indevido | Remota | Elevada |
Dica prática: Formalize um comitê de resposta a incidentes com representantes de TI, jurídico, compliance e comunicação.
Para uma avaliação personalizada, acesse o Intelligence Center da Decripte
Casos Brasileiros e Lições Aprendidas
Incidentes envolvendo bases públicas e empresas de tecnologia ganharam ampla cobertura midiática nos últimos anos. Em diversos casos, a discussão pública concentrou-se na demora da comunicação.
A principal lição é que transparência e agilidade reduzem danos reputacionais. Empresas que adotaram postura proativa conseguiram preservar confiança.
A ausência de plano estruturado resultou em respostas descoordenadas e retrabalho.
Erros Comuns na Notificação à ANPD
Um erro recorrente é tratar todo incidente como confidencial até conclusão forense completa. A legislação exige comunicação tempestiva, mesmo com informações preliminares.
Outro erro é delegar exclusivamente ao jurídico, sem suporte técnico adequado.
Também é comum não registrar a linha do tempo do incidente, prejudicando defesa futura.
O Papel do Encarregado (DPO)
O encarregado atua como ponto de contato com a ANPD. Sua participação deve ocorrer desde a detecção inicial.
Empresas sem DPO formalizado demonstram fragilidade de governança.
A atuação estratégica do encarregado contribui para decisões equilibradas.
O Caminho para a Maturidade em Notificação de Incidentes
A maturidade em notificação à ANPD depende de integração entre governança, tecnologia e cultura organizacional. Frameworks internacionais oferecem estrutura, mas a aplicação prática exige adaptação ao contexto brasileiro.
Organizações que testam regularmente seus planos de resposta, realizam simulações e investem em capacitação reduzem riscos regulatórios e financeiros.
Conheça nossos planos de proteção completos — SOC 24x7, Pentest, Resposta a Incidentes e LGPD