Incidentes de segurança na LGPD: por que comunicar o incidente é apenas o começo da resposta à ANPD

Um ataque de ransomware criptografa o banco de dados da empresa.

A equipe de tecnologia atua para conter o incidente. Sistemas são isolados, acessos são bloqueados e começa a corrida para entender o que foi afetado.

Em paralelo, surge uma preocupação inevitável: existem dados pessoais envolvidos?

Confirmado o risco, a empresa realiza a comunicação à Agência Nacional de Proteção de Dados dentro do prazo. O Encarregado pelo tratamento de dados pessoais formaliza a notificação, reúne as informações disponíveis e envia a documentação.

Para muitas empresas, esse é o momento em que o problema parece resolvido.

O incidente foi contido. A comunicação foi realizada. A obrigação foi cumprida.

Mas, dias depois, chega um ofício.

A Agência solicita esclarecimentos adicionais, documentos técnicos, detalhamento da investigação e explicações sobre as medidas adotadas.

É nesse ponto que surge um problema que poucas empresas antecipam.

A comunicação do incidente não encerra a relação com a Agência Nacional de Proteção de Dados.

Na prática, ela marca o início da fase mais relevante da resposta regulatória.


O que muda depois que o incidentes de segurança é comunicado

Após a comunicação, a empresa passa a ser analisada sob uma nova perspectiva.

O foco deixa de ser apenas o incidente.

Passa a ser a forma como a empresa responde a ele.

A Agência busca entender:

  • o que realmente aconteceu;
  • quais dados foram afetados;
  • qual o impacto para os titulares;
  • como a empresa chegou às suas conclusões;
  • quais medidas foram adotadas;
  • o que mudou após o incidente.

Isso significa que a resposta não é um documento único.

É um processo.


Por que muitas empresas acreditam que já fizeram o suficiente

Na rotina empresarial, é comum tratar o incidente como um evento isolado.

A lógica costuma ser direta:

  • houve um problema;
  • ele foi contido;
  • a comunicação foi feita;
  • o tema é encerrado.

Esse raciocínio funciona para diversos tipos de ocorrência operacional.

Mas não se aplica da mesma forma aos incidentes envolvendo dados pessoais.

Porque, nesse contexto, não basta resolver o problema.

É necessário demonstrar como ele foi compreendido, tratado e documentado.


O ponto que quase ninguém explica

Muitas empresas acreditam que o principal risco está em não comunicar o incidente.

Na prática, existe outro risco, menos visível.

Responder ao incidente sem conseguir sustentar tecnicamente as informações apresentadas.

Mesmo quando a comunicação é realizada dentro do prazo e acompanhada de informações consideradas completas pela própria empresa, não significa que a análise será encerrada naquele momento.

A Agência pode aprofundar a avaliação, solicitar novas evidências e comparar as informações apresentadas ao longo do tempo.

Se os dados mudam, não são comprovados ou não estão organizados, isso pode impactar diretamente a forma como o caso será interpretado pela Agência.


O erro mais comum na resposta ao incidente

Diante da atuação da Agência, muitas empresas adotam uma postura defensiva.

A resposta passa a se concentrar em argumentos como:

  • não houve falha relevante;
  • não houve dano significativo;
  • o incidente não teve impacto relevante.

Esses pontos podem ser válidos.

Mas, isoladamente, não são suficientes.

A Agência não analisa apenas o resultado.

Ela analisa o processo.

Ou seja, como a empresa investigou, documentou e tratou o incidente.

Na prática, isso significa que a empresa pode estar respondendo à Agência Nacional de Proteção de Dados sem apresentar justamente o que será analisado.


O que realmente está sendo avaliado

Ao longo da interação, a Agência passa a observar elementos como:

  • consistência das informações apresentadas;
  • capacidade de demonstrar como as conclusões foram alcançadas;
  • existência de registros e evidências;
  • evolução das medidas adotadas;
  • organização das respostas ao longo do tempo.

Isso explica por que duas empresas podem ter incidentes semelhantes e resultados regulatórios diferentes.

A diferença não está apenas no incidente.

Está na forma como cada uma respondeu a ele.


A comunicação como processo contínuo

A comunicação com a Agência Nacional de Proteção de Dados não se encerra com o envio da notificação inicial.

Ela se desenvolve ao longo de interações sucessivas.

Após a primeira comunicação, é comum que a Agência solicite:

  • complementação de informações;
  • documentos adicionais;
  • esclarecimentos técnicos;
  • detalhamento da investigação.

Esse fluxo pode se estender além do esperado. Durante esse período, a empresa precisa demonstrar evolução.

Não apenas repetir informações.

Ao longo da comunicação, a Agência passa a comparar as respostas apresentadas.

Alterações sem justificativa ou sem suporte técnico podem comprometer a credibilidade das informações já prestadas.


Onde surgem as maiores dificuldades

Na prática, poucas empresas possuem estrutura para lidar com esse tipo de demanda.

É comum encontrar cenários em que:

  • a área de tecnologia possui parte das informações;
  • o jurídico possui outra parte;
  • fornecedores detêm dados relevantes;
  • não existe um registro consolidado do incidente.

Isso gera um problema crítico.

A empresa até possui informações.

Mas não consegue organizá-las de forma consistente.

E, sem consistência, a resposta perde força.


Quando faz sentido buscar apoio especializado

Esse tipo de situação costuma gerar dúvidas operacionais importantes.

A empresa está respondendo corretamente?

As informações apresentadas são suficientes?

Existe risco de interpretação equivocada?

As respostas estão consistentes ao longo do tempo?


O papel da governança nesse cenário

Quando existe um processo estruturado de governança, a resposta ao incidente deixa de ser improvisada.

A empresa passa a atuar com base em um fluxo definido:

  • identificação do incidente;
  • registro das informações;
  • avaliação de riscos;
  • definição de medidas;
  • documentação padronizada;
  • comunicação estruturada.

Isso facilita a interação com a Agência e reduz o risco de inconsistências.

Além disso, permite demonstrar evolução ao longo do tempo.


Como o Encarregado pelo Tratamento de Dados Pessoais contribui

O Encarregado (DPO) atua como elemento de conexão nesse processo.

Sua função não se limita à comunicação formal e não se inicia no momento do incidente.

Ele acompanha a empresa antes, durante e depois do ciclo do incidente.

Na prática, isso significa:

  • orientar as áreas envolvidas;
  • organizar as informações produzidas;
  • garantir consistência nas respostas;
  • atuar como canal de comunicação com a Agência;
  • acompanhar a evolução das medidas adotadas.

Quando essa atuação é contínua, a empresa reduz o risco de respostas fragmentadas.

E passa a sustentar tecnicamente a sua posição ao longo de toda a interação regulatória.


A resposta ao incidente define como a empresa será avaliada pela ANPD

Incidentes de segurança não devem ser tratados apenas como eventos isolados.

A partir da comunicação, a empresa passa a ser avaliada pela forma como conduz a resposta.

Mesmo quando o incidente é comunicado corretamente, isso não significa que o processo será encerrado.

A análise continua.

E, ao longo dela, a Agência busca entender se a empresa:

  • compreendeu o que aconteceu;
  • conseguiu demonstrar suas conclusões;
  • adotou medidas efetivas;
  • evoluiu sua forma de tratar dados pessoais.

Na prática, o incidente pode durar algumas horas.

A resposta regulatória pode se estender por meses ou até anos, dependendo da complexidade do caso e da forma como a empresa conduz a comunicação.

E é nesse período que se define o nível de exposição da empresa.

Mais do que evitar sanções, o ponto central está na capacidade de demonstrar controle, organização e evolução.

É isso que diferencia empresas que apenas reagem a problemas daquelas que operam com governança estruturada e conseguem sustentar tecnicamente suas decisões diante da Agência Nacional de Proteção de Dados.

Para saber mais sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) acesse:
> Nossos artigos sobre a LGPD clicando aqui;
> O perfil da Dra. Kariny Antunes Farina no Instagram;
> A Lei Geral de Proteção de Dados Pessoais na íntegra no site gov.br;
> A Agência Nacional de Proteção de Dados Pessoais.
Ao clicar no link do Instagram e no link do site gov.br abrirá uma nova janela em seu navegador.

Nossa equipe possui sólida experiência na implementação de programas de adequação à LGPD, governança em privacidade e proteção de dados pessoais. Desenvolvemos soluções personalizadas para assegurar a conformidade com a legislação vigente e com as orientações da Agência Nacional de Proteção de Dados (ANPD), reduzindo riscos jurídicos, operacionais e reputacionais.

Oferecemos consultoria personalizada em adequação à LGPD para empresas que buscam estruturar ou aperfeiçoar seus processos de tratamento de dados pessoais, com segurança jurídica e foco em conformidade regulatória.

Entre em contato conosco e conheça as soluções mais adequadas para sua organização estar em conformidade com a LGPD.

Dra. Kariny Antunes é advogada especializada em Lei Geral de Proteção de Dados Pessoais (LGPD) e licitações públicas, além de proprietária do escritório Farina & Antunes Advocacia.

Veja também