Pular para o conteúdo
Direito Digital

Vazamento de dados: o que fazer nas primeiras 72 horas?

A LGPD impõe obrigações específicas em caso de incidente envolvendo dados pessoais. As primeiras horas são decisivas para conter o dano, comunicar autoridades e proteger a empresa.

BS Bruno Schafer OAB/SC 76.045

Um incidente de segurança envolvendo dados pessoais, vazamento, exposição não autorizada, sequestro de dados por ransomware, falha que permite acesso indevido, é uma das situações mais delicadas no Direito Digital. As primeiras horas após a descoberta são decisivas tanto para conter o dano quanto para cumprir as obrigações da LGPD.

O que a LGPD considera “incidente de segurança”?

A Lei 13.709/2018 não traz uma definição fechada, mas o artigo 48 estabelece que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A regulamentação posterior da ANPD detalhou os critérios.

Em geral, configura incidente:

  • Vazamento de banco de dados com informações pessoais expostas publicamente;
  • Acesso não autorizado a sistemas com dados pessoais (invasão, credencial roubada, falha de autenticação);
  • Sequestro de dados por ransomware com criptografia de informações pessoais;
  • Perda de dispositivos (notebook, celular, pendrive) contendo dados pessoais sem criptografia;
  • Envio acidental de dados pessoais para destinatário errado ou em listagem aberta;
  • Falha de configuração em servidor ou banco de dados que permite acesso público a informações sensíveis.

As primeiras 72 horas, checklist crítico

Hora 0 a 4: contenção

Identificar o vetor do incidente e estancar a exposição:

  • Isolar sistemas afetados da rede;
  • Revogar credenciais comprometidas;
  • Bloquear acessos suspeitos identificados;
  • Preservar evidências (logs, snapshots, e-mails) sem alterar os sistemas.

Se o incidente envolve ransomware, a recomendação técnica é não pagar resgate sem antes consultar especialistas, e preservar amostras para análise. O pagamento não garante a recuperação dos dados e pode configurar financiamento de organização criminosa.

Hora 4 a 24: avaliação

Mapear a extensão real do incidente:

  • Que dados foram afetados? (tipos, sensibilidade, volume)
  • Quantos titulares estão potencialmente impactados?
  • Há dados sensíveis envolvidos? (saúde, financeiros, biometria)
  • Qual a janela temporal da exposição?
  • Há indícios de uso indevido dos dados (revenda, fraude)?

Sem essa avaliação, a comunicação à ANPD e aos titulares fica imprecisa, e isso pode gerar mais problemas regulatórios e reputacionais.

Hora 24 a 72: comunicações

A LGPD não fixa um prazo numérico em horas para a comunicação à ANPD. A regulamentação da ANPD estabelece que a comunicação deve ocorrer em até dois dias úteis após o conhecimento do incidente.

Comunicações nessa janela:

  • À ANPD, via formulário próprio no site da agência (gov.br/anpd);
  • Aos titulares afetados, quando o incidente puder gerar risco ou dano relevante. A comunicação deve ser clara, em linguagem acessível, indicando os dados afetados e as medidas tomadas;
  • A parceiros e fornecedores afetados, conforme contratos de proteção de dados;
  • Internamente, à liderança da empresa e às áreas relevantes (jurídico, comunicação, segurança).

Após 72 horas: documentação e remediação

  • Relatório de incidente completo: causa, extensão, ações tomadas, lições aprendidas;
  • Plano de remediação para os titulares afetados (suporte, monitoramento de fraude, eventualmente compensação);
  • Revisão das políticas e controles que falharam;
  • Atualização do plano de resposta para incidentes futuros.

Quando a comunicação aos titulares é obrigatória?

A LGPD condiciona a comunicação aos titulares ao critério de “risco ou dano relevante”. Nem todo incidente exige comunicação massiva. A análise considera:

  • Tipo de dado afetado (CPF e dados financeiros pesam mais que e-mail isolado);
  • Volume de titulares;
  • Probabilidade real de uso indevido;
  • Medidas de mitigação já adotadas (criptografia, dados pseudonimizados).

A análise é técnica e jurídica. Decidir não comunicar e depois ser confrontado pela ANPD por omissão pode gerar sanção significativamente maior.

Quais sanções a ANPD pode aplicar?

A LGPD prevê (artigo 52) sanções que vão da advertência à multa de até 2% do faturamento da empresa (limitado a R$ 50 milhões por infração), além de publicização da infração e bloqueio ou eliminação dos dados pessoais. A ANPD tem aplicado essas sanções de forma crescente desde 2023.

Documentos importantes para a resposta

  • Política de privacidade vigente;
  • Inventário de dados pessoais tratados;
  • Contratos com fornecedores que processam dados em nome da empresa;
  • Logs de sistemas e backups preservados;
  • Plano de resposta a incidentes (se existir);
  • Comunicações internas e externas sobre o caso.

O que considerar antes de buscar orientação jurídica

  1. Aja rápido na contenção, cada hora conta;
  2. Documente tudo, decisões, hora, justificativas;
  3. Evite comunicação prematura sem ter clareza da extensão;
  4. Não destrua evidências, preserve logs e snapshots;
  5. Acionar advogado especializado é parte da resposta, não algo opcional.

Próximos passos

Se sua empresa está enfrentando um incidente de segurança envolvendo dados pessoais, ou quer estruturar um plano de resposta antes que aconteça, fale com o escritório. Em situações ativas, o tempo de resposta é parte da contenção do dano.

Conteúdo meramente informativo. Não substitui consulta jurídica individualizada.

Próximo passo

Tem dúvidas sobre o tema deste artigo?

Cada caso é único e exige análise individualizada. Fale com o escritório para entender como o tema se aplica à sua situação.

Fale com o escritório Conhecer área de Direito Digital