Empresas e órgãos públicos que lidam com dados pessoais de clientes, usuários ou cidadãos deverão acionar a Autoridade Nacional de Proteção de Dados (ANPD) em até três dias úteis após tomar conhecimento de vazamentos ou incidentes de segurança relevantes.
A exigência está prevista na Resolução CD/ANPD nº 15, em vigor desde abril de 2024, mas começou a ser aplicada com maior rigor neste segundo semestre de 2025. A medida tem como objetivo aumentar a transparência no tratamento de informações e proteger os direitos dos titulares diante do crescimento de ataques cibernéticos e falhas operacionais no país.
A obrigatoriedade de comunicação aplica-se somente quando houver risco relevante aos direitos dos afetados e a ocorrência de pelo menos um dos seguintes fatores: tratamento de dados em larga escala; dados sensíveis ou de crianças e adolescentes; informações financeiras, biométricas ou protegidas por sigilo legal.
Critérios objetivos para notificação
“Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas sabem exatamente quando devem notificar e o que pode acontecer se não o fizerem”, explica o advogado especialista em Direito da Tecnologia e Cibersegurança do GMP | G&C Advogados Associados, Bruno Fuentes.
O especialista reforça que a comunicação deve ser rápida, técnica e transparente. “O improviso, nesse contexto, é um grande inimigo. Ter processos definidos é essencial para minimizar riscos legais e reputacionais”, alerta Fuentes.
O prazo padrão para notificação de incidentes é de três dias úteis, contado a partir do momento em que a organização toma ciência do evento. Agentes de pequeno porte, como microempresas, startups ou organizações não governamentais, podem contar com prazo estendido, de até seis dias úteis.
Mesmo quando o incidente não exige notificação formal, a empresa deve manter registro interno do evento por cinco anos. Essa documentação é fundamental para auditorias, defesa administrativa ou processos judiciais.
Desde julho deste ano, a ANPD intensificou sua fiscalização: mais de 20 empresas foram notificadas por falhas no tratamento de dados ou por não comunicar incidentes relevantes. As sanções previstas pela Lei Geral de Proteção de Dados (LGPD) variam de advertências a multas de até R$ 50 milhões por infração, sem contabilizar o impacto reputacional.
“Negligenciar a LGPD deixou de ser um risco teórico. A autoridade está atuando, e cada caso de omissão se torna precedente para penalidades mais severas”, alerta Fuentes.
Crescente risco de vazamentos no Brasil
O endurecimento das regras coincide com a alta incidência de incidentes de segurança no país. Nos últimos meses, o Brasil registrou um dos maiores vazamentos de senhas e credenciais já divulgados, afetando bilhões de dados. O caso reforçou a importância de notificação rápida e transparente, bem como a necessidade de políticas internas de prevenção e resposta.
A ANPD também prevê, na Agenda Regulatória 2025–2026, a criação de novas normas relacionadas à inteligência artificial, dados biométricos e tratamento de informações por órgãos públicos. Especialistas apontam que a tendência é que as exigências aumentem, reforçando a necessidade de preparo das organizações.
Dessa forma, Fuentes orienta que todas as organizações devem estruturar políticas internas de resposta a incidentes.
“Ter um plano formal, com atribuições claras, sistema de detecção e canal direto com a ANPD é o básico. Esperar que o incidente aconteça para montar uma estratégia é um erro que pode custar muito caro.”
O advogado destaca ainda o papel do encarregado de dados, ou Data Protection Officer (DPO), reforçado pela Resolução nº 18/2024. O DPO é responsável por coordenar ações, comunicar incidentes à ANPD e manter registros atualizados, sendo peça central no cumprimento da legislação e mitigação de riscos.
Implicações para o setor contábil
Para contadores e profissionais de compliance, a atualização das regras significa atenção redobrada ao tratamento de dados pessoais e financeiros. Empresas precisam revisar sistemas de segurança, procedimentos internos e treinamentos de colaboradores, garantindo que incidentes sejam detectados e notificados dentro do prazo legal.
A comunicação rápida e precisa evita sanções e reduz impactos sobre a reputação da organização. Além disso, auxilia na proteção de informações sensíveis de clientes e cidadãos, fortalecendo a confiança no relacionamento com o mercado.
A nova postura da ANPD evidencia a maturidade da autoridade e o foco na proteção de dados no Brasil. A tendência é que a fiscalização seja cada vez mais rigorosa, e que a exigência de notificação de incidentes relevantes se torne rotina para empresas e órgãos públicos.
Organizações que ainda não possuem processos internos formalizados devem agir imediatamente. A atualização da política de segurança, o treinamento de equipes e a definição clara de responsabilidades internas são fundamentais para cumprir a LGPD, reduzir riscos e garantir conformidade diante das novas regras.
Com informações adaptadas do Portal Dedução
