LGPD / Imagem: Freepik
Empresas e órgãos públicos que tratam dados pessoais de clientes, usuários ou cidadãos precisam estar atentos: a Autoridade Nacional de Proteção de Dados (ANPD) passou a exigir que vazamentos e incidentes de segurança relevantes sejam comunicados em até 3 dias úteis, contados a partir do conhecimento do fato.
A regra está prevista na Resolução CD/ANPD nº 15, em vigor desde abril de 2024, mas que começou a ser aplicada de forma mais rigorosa neste segundo semestre de 2025. O objetivo é aumentar a transparência e proteger os direitos dos titulares de dados diante do aumento expressivo de ataques cibernéticos e falhas operacionais no país.
A nova regulamentação estabelece que a comunicação à ANPD e aos titulares será obrigatória apenas quando houver risco relevante aos direitos dos afetados e a ocorrência de ao menos um dos seguintes fatores: Tratamento em larga escala; Dados sensíveis ou de crianças e adolescentes; Informações financeiras, biométricas ou protegidas por sigilo legal.
“Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas sabem exatamente quando devem notificar, e o que pode acontecer se não o fizerem”, explica o advogado Bruno Fuentes, especialista em Direito da Tecnologia e Cibersegurança do GMP | G&C Advogados Associados. “A comunicação tem que ser rápida, técnica e transparente. O improviso, nesse contexto, é um grande inimigo”, completa.
O prazo padrão para notificação é de 3 dias úteis, podendo ser dobrado para agentes de pequeno porte, como microempresas, ONGs ou startups. Além disso, a empresa deve manter registro interno do incidente por 5 anos, mesmo que decida não comunicar formalmente.
Desde julho de 2025, a ANPD intensificou sua atuação: mais de 20 empresas foram notificadas por ausência de comunicação ou falhas no tratamento de dados. As sanções previstas pela LGPD vão de advertências até multas de até R$ 50 milhões por infração, sem contar o impacto na reputação. “Negligenciar a LGPD deixou de ser um risco teórico. A autoridade está atuando, e cada caso de omissão se torna um precedente para penalidades mais severas”, adverte Fuentes.
O endurecimento das regras não é por acaso. Só nos últimos meses, o Brasil registrou um dos maiores vazamentos de senhas e credenciais já divulgados, afetando bilhões de dados e gerando alertas globais sobre o impacto da exposição de informações pessoais.
A ANPD também prevê, na Agenda Regulatória 2025–2026, mais normas sobre inteligência artificial, dados biométricos e tratamento por órgãos públicos. “É um movimento claro de amadurecimento da autoridade. A tendência é que as exigências aumentem, não diminuam”, analisa o especialista.
Segundo Bruno Fuentes, a recomendação é clara: quem ainda não estruturou uma política interna de resposta a incidentes está atrasado. “Ter um plano formal, com atribuições claras, sistema de detecção e canal com a ANPD é o básico. Esperar o incidente acontecer para montar uma estratégia é um erro que pode custar muito caro.”
Além disso, o advogado destaca que o encarregado de dados (DPO) ganhou nova relevância com a Resolução nº 18/2024, sendo o responsável direto por coordenar ações, responder à ANPD e manter os registros atualizados.
O 13º salário do INSS 2025 foi confirmado e pago de forma antecipada pelo Governo…
O Ministério da Previdência Social lançou, nesta quarta-feira (15), o Programa de Regularidade Previdenciária dos…
Os beneficiários do Bolsa Família já podem se programar para os pagamentos de outubro de…
Evento gratuito acontece neste sábado (18) das 14h às 18h em formato híbrido
A economia brasileira apresentou leve avanço em agosto deste ano, mantendo um crescimento observado desde…
O Comitê Gestor do Simples Nacional (CGSN) publicou, por meio da Resolução CGSN nº 183/2025,…