Empresas terão até 3 dias para comunicar falhas de segurança com dados pessoais

Empresas e órgãos públicos que tratam dados pessoais de clientes, usuários ou cidadãos precisam estar atentos: a Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que vazamentos e incidentes de segurança relevantes sejam comunicados em até 3 dias úteis, contados a partir do conhecimento do fato.

A regra está prevista na Resolução CD/ANPD nº 15, em vigor desde abril de 2024, mas que começou a ser aplicada de forma mais rigorosa neste segundo semestre de 2025. O objetivo é aumentar a transparência e proteger os direitos dos titulares de dados diante do aumento expressivo de ataques cibernéticos e falhas operacionais no país.

A nova regulamentação estabelece que a comunicação à ANPD e aos titulares será obrigatória apenas quando houver risco relevante aos direitos dos afetados e a ocorrência de ao menos um dos seguintes fatores: Tratamento em larga escala; Dados sensíveis ou de crianças e adolescentes; Informações financeiras, biométricas ou protegidas por sigilo legal.

"Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas sabem exatamente quando devem notificar, e o que pode acontecer se não o fizerem", explica o advogado Bruno Fuentes, especialista em Direito da Tecnologia e Cibersegurança do GMP | G&C Advogados Associados. "A comunicação tem que ser rápida, técnica e transparente. O improviso, nesse contexto, é um grande inimigo", completa.

Prazos, penalidades e a nova postura da ANPD

O prazo padrão para notificação é de 3 dias úteis, podendo ser dobrado para agentes de pequeno porte, como microempresas, ONGs ou startups. Além disso, a empresa deve manter registro interno do incidente por 5 anos, mesmo que decida não comunicar formalmente.

Desde julho de 2025, a ANPD intensificou sua atuação: mais de 20 empresas foram notificadas por ausência de comunicação ou falhas no tratamento de dados. As sanções previstas pela LGPD vão de advertências até multas de até R$ 50 milhões por infração, sem contar o impacto na reputação. "Negligenciar a LGPD deixou de ser um risco teórico. A autoridade está atuando, e cada caso de omissão se torna um precedente para penalidades mais severas", adverte Fuentes.

O endurecimento das regras não é por acaso. Só nos últimos meses, o Brasil registrou um dos maiores vazamentos de senhas e credenciais já divulgados, afetando bilhões de dados e gerando alertas globais sobre o impacto da exposição de informações pessoais.

A ANPD também prevê, na Agenda Regulatória 2025–2026, mais normas sobre inteligência artificial, dados biométricos e tratamento por órgãos públicos. "É um movimento claro de amadurecimento da autoridade. A tendência é que as exigências aumentem, não diminuam", analisa o especialista.

Empresas devem agir agora: prepare-se para responder

Segundo Bruno Fuentes, a recomendação é clara: quem ainda não estruturou uma política interna de resposta a incidentes está atrasado. "Ter um plano formal, com atribuições claras, sistema de detecção e canal com a ANPD é o básico. Esperar o incidente acontecer para montar uma estratégia é um erro que pode custar muito caro."

Além disso, o advogado destaca que o encarregado de dados (DPO) ganhou nova relevância com a Resolução nº 18/2024, sendo o responsável direto por coordenar ações, responder à ANPD e manter os registros atualizados.