Um vazamento de dados confirmado dispara um conjunto de obrigações jurídicas, técnicas e comunicacionais que precisam ser executadas em paralelo, sob forte pressão temporal. A Lei 13.709/2018, em seu artigo 48, estabelece o dever do controlador de comunicar à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A regulamentação infralegal, complementada pela Resolução CD/ANPD 15/2024 sobre comunicação de incidentes, definiu prazos e formato dessa notificação.

O conceito jurídico de incidente de segurança

Incidente de segurança, para fins da LGPD, é qualquer evento adverso confirmado relacionado à violação na segurança de dados pessoais. Inclui acesso não autorizado, alteração indevida, perda, destruição ou divulgação acidental ou ilícita. A definição é ampla e abrange desde sofisticados ataques cibernéticos com exfiltração massiva de dados até falhas pontuais como envio de e-mail com destinatários equivocados em campo aberto, quando este envio comporta dados pessoais.

A distinção entre incidente e tentativa frustrada de invasão é relevante. A LGPD obriga a comunicação dos incidentes efetivamente consumados que comportem risco ou dano relevante, não das tentativas sem sucesso. A documentação interna, contudo, deve registrar ambos para fins de evidência de governança.

A janela de comunicação

A Resolução CD/ANPD 15/2024 estabeleceu o prazo de três dias úteis para a comunicação à Autoridade Nacional após o conhecimento do incidente pelo controlador. Trata-se de prazo extremamente exíguo para qualquer organização que ainda não tenha plano de resposta estruturado. A dispensa de comunicação só é admissível em hipóteses específicas, como quando o incidente não acarretar risco ou dano relevante, situação que precisa ser fundamentada documentalmente.

Cronologia da resposta a incidente

1
Hora zero · Detecção

Identificação do incidente por equipe técnica, denúncia interna ou alerta de sistema. Início da contagem do prazo.

2
Primeiras 24 horas · Contenção

Isolamento do vetor de ataque, preservação de logs, formação do gabinete de crise com participação do Encarregado, equipe jurídica e segurança da informação.

3
24 a 48 horas · Avaliação

Determinação do escopo do incidente, identificação dos titulares afetados, categorias de dados comprometidos e análise de risco e dano.

4
Até 72 horas · Comunicação

Envio da comunicação à ANPD pelo formulário eletrônico oficial. Avaliação sobre necessidade e oportunidade da comunicação aos titulares afetados.

5
Dias seguintes · Mitigação

Adoção de medidas técnicas adicionais, comunicação a titulares quando aplicável, e elaboração do relatório de causa raiz com plano de ação preventivo.

O conteúdo obrigatório da comunicação

A comunicação à ANPD deve conter, no mínimo, descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas para proteção dos dados, riscos relacionados ao incidente, motivos da demora caso a comunicação não tenha sido imediata, e medidas adotadas ou propostas para reverter ou mitigar os efeitos do prejuízo.

A comunicação aos titulares, quando exigida, segue lógica distinta. Deve ser feita de forma clara e acessível, descrevendo o incidente, os dados comprometidos, os possíveis impactos, as medidas tomadas pela organização e as recomendações que o próprio titular pode adotar para minimizar danos.

O regime de responsabilidade civil

O artigo 42 da LGPD estabelece a responsabilidade do controlador e do operador pelos danos patrimoniais, morais, individuais ou coletivos decorrentes do tratamento irregular de dados. A jurisprudência brasileira tem reconhecido o dano moral em casos de vazamento, embora com tendência a exigir demonstração de dano efetivo, especialmente em incidentes que não envolveram dados sensíveis.

O Superior Tribunal de Justiça, no julgamento de recursos representativos de controvérsia, sinalizou que o vazamento por si só não gera dano moral presumido, salvo quando há circunstâncias adicionais que indiquem comprometimento real à esfera de privacidade do titular. A discussão sobre dano in re ipsa em vazamentos de grande escala segue em construção.

"O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." Lei 13.709/2018, art. 48, caput

O plano de resposta a incidentes

A existência prévia de plano formal de resposta a incidentes é fator determinante para o desempenho da organização sob pressão. O plano deve identificar nominalmente os responsáveis por cada fluxo de atuação, definir canais de comunicação interna, modelos pré-aprovados de notificação à ANPD e aos titulares, e protocolos de preservação de evidências para eventual responsabilização criminal de autores externos do ataque.

A simulação periódica do plano, em formato de exercício de mesa, revela fragilidades operacionais que não aparecem na simples leitura do documento. A maturidade do programa de governança em proteção de dados é demonstrada justamente pela capacidade de executar com agilidade as etapas previstas no plano.

Considerações finais

A gestão jurídica de incidentes de segurança consolidou-se como subespecialidade técnica do direito digital. O domínio da matéria exige articulação entre conhecimento normativo, compreensão de infraestrutura tecnológica e familiaridade com o regime sancionatório da ANPD. A construção doutrinária do tema segue em ritmo acelerado, acompanhando o aumento da incidência de incidentes documentados no país.