Incidentes com dados pessoais: quando comunicar é obrigatório e quando não é

É quase certo que toda empresa, cedo ou tarde, sofrerá um ataque cibernético. Quando isso acontecer — principalmente se envolver dados pessoais — é essencial agir com rapidez e clareza para reduzir os impactos aos titulares.

Vazamentos e perdas de dados são cada vez mais frequentes. Um exemplo recente é o megavazamento que expôs 16 bilhões de senhas. No Brasil, a Lei Geral de Proteção de Dados (LGPD) obriga empresas e órgãos públicos a proteger os dados que tratam e, em caso de incidente, a comunicar os afetados quando houver risco.

O artigo 48 da LGPD determina que, em situações de risco ou dano relevante, o controlador dos dados (quem toma as decisões sobre o tratamento dessas informações) deve comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.

Para padronizar esse processo, a ANPD publicou a Resolução nº 15/2024, que explica o que é um incidente de segurança, quando ele deve ser comunicado e de que forma. Segundo essa norma, um incidente pode ocorrer tanto por falhas técnicas ou humanas quanto por ataques intencionais, e não se limita a vazamentos — também inclui perdas, indisponibilidades ou qualquer situação que possa comprometer os direitos dos titulares.

A comunicação deve ser feita em até três dias úteis após a confirmação de que dados pessoais foram afetados. Se ainda não houver todas as informações no momento da comunicação, o controlador tem vinte dias úteis para complementar os dados.

Entretanto, nem todo incidente precisa ser comunicado. A empresa deve avaliar se houve risco significativo aos titulares. Essa avaliação deve considerar se os dados são sensíveis, se envolvem crianças, idosos, informações financeiras ou protegidas por sigilo, ou se o volume de dados é muito grande. A ideia é que só sejam comunicados os casos que realmente colocam os direitos das pessoas em risco.

Por isso, cada organização precisa desenvolver um plano de resposta a incidentes com dados pessoais, incluindo um método para analisar o grau de risco. É recomendável que esse método se baseie em normas técnicas internacionais e nas orientações da ANPD.

No Serpro, por exemplo, equipes técnicas avaliam cada incidente com base no impacto e na chance de prejuízos aos titulares. Se o risco for considerado baixo, o caso é apenas registrado. Se for médio, pode haver uma comunicação pública com orientações para os titulares. Já em casos graves, a empresa informa diretamente os titulares afetados e a ANPD, além de publicar orientações amplamente.

Conclusão

Incidentes com dados pessoais são um desafio real e constante. Estar preparado com um plano claro, equipes treinadas e critérios objetivos para avaliar o risco faz toda a diferença para reduzir os danos e garantir o cumprimento da LGPD. A comunicação à ANPD e aos titulares não é obrigatória em todos os casos, mas exige atenção e responsabilidade sempre que houver risco real aos direitos das pessoas envolvidas.