ANPD impõe novo prazo p/ comunicação de incidentes de dados
Autoridade Nacional de Proteção de Dados (ANPD) intensifica atuação e amplia exigências para empresas em cenário de alta de incidentes digitais.
Organizações públicas e privadas que lidam com dados pessoais de clientes, usuários ou cidadãos devem redobrar a atenção. A Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que falhas relevantes de segurança, incluindo vazamentos, sejam reportadas em até 3 dias úteis a partir do momento em que forem identificadas.
A exigência está prevista na Resolução CD/ANPD nº 15, em vigor desde abril de 2024, mas que passou a ser aplicada com maior rigor no segundo semestre de 2025. A medida tem como meta reforçar a transparência e resguardar os direitos dos titulares de dados, em um cenário de crescimento acelerado de ataques cibernéticos e erros operacionais no Brasil.
De acordo com a norma, a comunicação à ANPD e aos titulares será obrigatória apenas quando houver risco relevante aos envolvidos e a presença de pelo menos um dos seguintes critérios: tratamento em larga escala; uso de dados sensíveis ou de menores de idade; informações financeiras, biométricas ou protegidas por sigilo legal.
Prazos, sanções e intensificação da fiscalização
O prazo padrão de notificação é de 3 dias úteis, podendo ser estendido para até 6 dias úteis no caso de agentes de pequeno porte, como microempresas, ONGs e startups. Além disso, as organizações devem manter registro interno do incidente por 5 anos, mesmo quando optarem por não formalizar a comunicação.
Desde julho de 2025, a ANPD tem atuado de forma mais firme: mais de 20 empresas já foram notificadas por não reportarem incidentes ou por falhas na gestão de dados. As sanções previstas pela LGPD variam de advertências a multas de até R$ 50 milhões por infração, sem contar os danos à reputação.
Especialistas afirmam que ignorar a LGPD não é mais um risco teórico, em razão da autoridade estar aplicando penalidades, e cada caso de omissão pode servir de precedente para punições ainda mais severas.
Contexto recente
O movimento regulatório reflete o contexto recente. Nos últimos meses, o Brasil sofreu um dos maiores vazamentos de senhas e credenciais já divulgados, envolvendo bilhões de registros e gerando repercussão internacional sobre os riscos da exposição de dados pessoais.
A própria ANPD já indicou, em sua Agenda Regulatória 2025–2026, que pretende avançar com novas normas envolvendo inteligência artificial, dados biométricos e tratamento de dados por órgãos públicos.
Para especialistas, é um sinal claro de amadurecimento institucional, considerando que a tendência é que as exigências aumentem, e não o contrário.
Hora de agir: como as empresas devem se preparar
Para especialistas, quem ainda não estruturou um plano de resposta a incidentes está atrasado, visto que ter uma política formal, com papéis definidos, sistemas de detecção e canal de comunicação com a ANPD é o mínimo necessário. Esperar o problema acontecer para improvisar uma reação pode custar muito caro, advertem.
Nesse particular, é destacada a importância do encarregado de dados (DPO), que ganhou protagonismo com a Resolução nº 18/2024. Cabe a esse profissional coordenar ações em caso de incidentes, manter a interlocução com a ANPD e garantir que os registros sejam devidamente atualizados.
Aproveite a parceria do Sindilojas-SP para adequar sua empresa à LGPD
Além de oferecer regras claras sobre a utilização, armazenamento e compartilhamento de informações pessoais, adequa o nível de proteção de dados das empresas brasileiras com as empresas internacionais, gerando mais aproximação e competitividade. Clique no banner abaixo para saber mais!
Dúvidas sobre esse assunto?
Ligue 11 2858-8400, FALE CONOSCO ou ainda pelo WhatsApp 11 2858-8402
