2025 bate recordes de incidentes de segurança reportados à ANPD. A sua empresa sabe quando e como comunicar titulares?
Autores: Bruno Marcolini e Matheus Sturari
- Resumo
Como novidade para 2025, a Agência Nacional de Proteção de Dados (“ANPD”) publicou uma nova funcionalidade para o acompanhamento de incidentes de segurança. Trata-se de painéis informativos que oferecem informações em tempo real e categorizados de acordo com todos os incidentes de segurança reportados desde 2021, incluindo processos ainda em investigação. Analisando tais dados, é possível avaliar uma informação alarmante: os 395 reportes de 2025 superaram os 352 de 2023, fazendo com que com que o período se torne o maior em número de reportes da história do Brasil.
Em outra análise importante, verificou-se que os titulares foram comunicados sobre o ocorrido em 254 dos 395, correspondendo a 64,3 % dos casos e provando que, diante da crescente no número de incidentes, torna-se indispensável que as empresas mantenham procedimentos claros, documentados e acionáveis para a comunicação com os titulares. O aumento das notificações também evidencia que a pressão por respostas rápidas e adequadas é cada vez maior, e que somente organizações com fluxos internos bem definidos conseguem cumprir, de forma tempestiva e consistente, as exigências legais relacionadas à transparência em casos de incidentes.
Pensando nisso, o CMT Advogados preparou a presente Newsletter para auxiliar clientes diante de um incidente de segurança que represente “alto risco” aos direitos e liberdades dos titulares dos dados.
- Contexto – O que é um incidente de segurança envolvendo dados pessoais e quando os titulares devem ser comunicados?
- Definição
Segundo a ANPD, um incidente de segurança um evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
Incidentes podem surgir tanto por enganos, como quando informações são enviadas para a pessoa errada, quanto por ações deliberadas, a exemplo da invasão de sistemas ou do roubo de equipamentos que armazenam dados.
Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade dados pessoais. São exemplos de incidentes de segurança o sequestro de dados (ransomware), o acesso não autorizado a dados armazenados em sistemas de informação e a publicação não intencional de dados dos titulares.
Nem todo evento de segurança da informação envolve dados pessoais ou se caracteriza como um vazamento. Situações que afetem apenas dados anonimizados ou que não permitam a identificação direta ou indireta de pessoas naturais não precisam ser comunicadas à ANPD.
Da mesma forma, a simples existência de uma vulnerabilidade em um sistema não é considerada um incidente de segurança. Apenas quando essa vulnerabilidade é explorada, gerando impacto sobre operações ou dados, é que pode haver a caracterização de um incidente.
- Quais incidentes de segurança precisam ser comunicados aos titulares?
A obrigação de reportar incidentes de segurança aos titulares recai exclusivamente sobre os controladores sujeitos à LGPD, enquanto responsáveis pelo tratamento.
Para que um incidente seja passível de comunicação, é necessário que três critérios sejam atendidos de forma cumulativa: (i) confirmação – Em primeiro lugar, o controlador deve ter confirmado a ocorrência do incidente, não sendo suficiente a mera suspeita; (ii) presença de dados pessoais – o evento precisa envolver dados pessoais submetidos ao regime da LGPD, o que exclui situações que tratem apenas de dados anonimizados ou informações que não permitam a identificação de indivíduos; e (iii) risco e dano relevante – é indispensável que o incidente tenha potencial de causar risco ou dano relevante aos titulares, seja em razão da sensibilidade dos dados expostos, da possibilidade de uso indevido das informações ou dos impactos às liberdades e direitos das pessoas afetadas.
Somente quando esses elementos se fazem presentes surge o dever de notificar a autoridade.
Segundo a ANPD, são exemplos de incidentes que podem causar dano relevante:
i. A invasão de uma rede de computadores de uma instituição financeira por um agente malicioso que realize a cópia não autorizada de uma base de dados contendo dados pessoais dos correntistas, tais como extratos bancários, números de cartões de crédito e senhas viola o sigilo bancário dos titulares e os expõe a risco de fraudes e danos morais e materiais;
ii. A indisponibilidade prolongada de um sistema utilizado por uma rede hospitalar em razão de um incidente de sequestro de dados, impedindo o acesso aos dados dos pacientes ou a realização de procedimentos médicos, pode expor dados pessoais sensíveis dos titulares e causar-lhes riscos ou danos à saúde; e
iii. A perda, roubo ou destruição acidental de documentos ou dispositivos de armazenamento de dados, seja por meio de fraudes, extravio ou devido a desastres (como enchentes, incêndios e outras catástrofes), que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato pode expor as pessoas a sérios riscos reputacionais, a fraudes financeiras e a roubo de identidade.
- Recomendações no momento do reporte
Conforme destacado, a ocorrência de um incidente de segurança pode levar a consequências severas ao titular, de forma que seu reporte adequado é fundamental para que o afetado possa se resguardar da melhor forma possível.
Assim, o CMT Advogados reuniu uma série de recomendações baseadas na experiência europeia e nacional para auxiliar as empresas nesse momento delicado de compliance à LGPD.
4.1 Comunicação da forma mais rápida possível
Informe as vítimas sem demora sobre o ocorrido. Se os dados de alguém foram vazados, podem rapidamente cair em mãos de 3º mal-intencionados. Assim, um aviso rápido tem o poder de evitar consequências desagradáveis, como fraudes, informando as vítimas o mais rápido possível. Só assim elas poderão tomar as devidas providências.
Você ainda está investigando a violação de dados? E, portanto, ainda não possui todas as informações? Primeiro, envie uma mensagem de alerta preliminar. Isso avisará as vítimas de que algo aconteceu e elas poderão ficar atentas a um possível uso indevido de seus dados. Assim que tiver mais informações sobre a violação de dados, informe-as detalhadamente.
4.2 Escreva um texto simples, direto e claro.
O controlador, no momento da escrita do reporte, deverá ter em vista que o titular não possui ciência sobre muitos aspectos do ocorrido, além de provavelmente não possuir a expertise técnica para entender mensagens complexas.
Dessa forma, a mensagem deverá ser feita em texto simples, direto e claro. Para tanto, sugere-se: (i) o uso de frases de até 10 palavras em média e nunca mais de 15; (ii) evitar palavras difíceis ou técnicas, mas, em caso de uso, insira também as suas definições; (iii) usar subtítulos claros e tópicos ao invés de longos textos, indicando a ocorrência do incidente logo no começo do texto; e (iv) em se tratando de incidentes no Brasil, realizar o informe em língua portuguesa.
4.3. Descreva de forma clara e completa o que aconteceu.
Na comunicação às pessoas afetadas, é importante deixar explícito qual foi o tipo de violação de dados ocorrida, indicando de forma objetiva se se tratou, por exemplo, de um ataque de ransomware, de uma tentativa de phishing ou do envio de informações ao destinatário incorreto.
Caso ainda exista algum grau de incerteza sobre as circunstâncias do incidente, essa situação deve ser mencionada, bem como a previsão de quando novas informações serão fornecidas, como após a conclusão da investigação interna. Também é fundamental informar se os dados foram acessados por terceiros não autorizados, se houve perda das informações ou se a organização deixou de ter acesso a elas.
Textos que não detalham claramente a natureza da violação e o que de fato ocorreu prejudicam a compreensão dos titulares e dificultam que avaliem os possíveis impactos sobre seus dados pessoais.
4.4 Indique claramente os dados vazados
A mensagem dirigida às pessoas afetadas deve indicar de forma clara e precisa quais dados pessoais foram efetivamente expostos, evitando descrições genéricas ou o uso de expressões que possam gerar dúvida, como “por exemplo” ou “tais como”.
É importante apresentar exatamente quais informações foram comprometidas, como nome completo, endereço residencial ou quaisquer outros dados específicos envolvidos no incidente.
Caso diferentes grupos de indivíduos tenham sido impactados de maneiras distintas, a organização deve identificar o quanto antes quais titulares se enquadram em cada situação e preparar comunicações separadas e adequadas a cada perfil de exposição.
Se ainda não for possível determinar com precisão quais dados foram vazados, é necessário explicar os motivos dessa indefinição e informar quando novas atualizações poderão ser fornecidas, de modo a manter as vítimas cientes do andamento da apuração e dos eventuais riscos relacionados ao incidente.
4.5. Indique prováveis consequências para as vítimas
As violações de dados podem resultar no uso indevido das informações expostas, incluindo tentativas de fraude, como práticas de phishing. Sempre que houver consequências prováveis para as pessoas afetadas, é fundamental que a comunicação descreva esses riscos de maneira compreensível e direta.
Além disso, a organização deve orientar as vítimas sobre as medidas que podem adotar para se proteger, como redobrar a atenção a contatos suspeitos, monitorar movimentações incomuns em suas contas ou atualizar senhas e credenciais. Esse tipo de orientação contribui para reduzir potenciais danos e fortalece a capacidade de resposta das pessoas impactadas.
Ao reportar o incidente, é fundamental que as seguintes perguntas sejam respondidas: (i) existe risco de danos não materiais? Como, por exemplo, danos à reputação ou exclusão? Ou existe risco de danos físicos ou materiais (financeiros)?( ii) Os dados pessoais estão em posse de um agente malicioso? Por exemplo, um hacker? E, em caso afirmativo, existe o risco de phishing ou fraude de identidade? (iii) Os dados pessoais já foram devolvidos a você ou destruídos pela parte que os recebeu indevidamente?; (iv) Houve vazamento de informações de contato? E, em caso afirmativo, como os criminosos podem usar esses dados?
Se as senhas forem comprometidas, os criminosos podem acessar outros sites onde as vítimas usam a mesma senha. Explique que é mais seguro usar senhas diferentes e peça às pessoas que alterem suas senhas para o site ou área de clientes.
Da mesma forma, se cópias de documentos de identidade foram vazadas, existe o risco de fraude de identidade. Nesse caso, explique claramente o que é fraude de identidade e o que pode ser feito para combatê-la.
4.6 Fornecer aconselhamento específico às vítimas, sempre que possível.
Quando uma violação de dados representa um risco imediato para os titulares, a comunicação deve incluir orientações claras, práticas e adequadas ao contexto para que as pessoas afetadas possam se proteger.
As instruções a serem fornecidas variam conforme a natureza do incidente, o tipo de dado comprometido e o potencial de uso indevido das informações. Em incidentes envolvendo credenciais de acesso, por exemplo, pode ser necessário recomendar a alteração imediata de senhas. Se houver risco de golpes ou tentativas de engenharia social, é importante alertar sobre contatos suspeitos, pedidos de confirmação de dados pessoais ou mensagens que aparentem ter origem na organização, mas que na verdade buscam explorar a situação. Em casos de exposição de dados financeiros, pode ser relevante orientar o monitoramento de transações ou o bloqueio preventivo de cartões.
Quanto mais específicas e contextualizadas forem as orientações, maiores as chances de que as vítimas compreendam os riscos e adotem as medidas necessárias para reduzir eventuais impactos decorrentes da violação.
No mesmo sentido, ao comunicar uma violação de dados, não basta afirmar que medidas foram adotadas. É importante explicar de maneira objetiva quais ações concretas estão sendo realizadas para conter o incidente e evitar novas ocorrências. Caso estejam sendo implementadas medidas técnicas, como reforço de autenticação, bloqueio de acessos indevidos, atualização de sistemas ou restauração de backups, essas ações devem ser descritas em linguagem simples, para que qualquer pessoa compreenda o que está sendo feito. Se a organização tiver recorrido ao apoio de entidades externas, como especialistas em segurança da informação, empresas de resposta a incidentes ou assessoria jurídica, isso também deve ser informado. Nesse caso, é essencial esclarecer qual é o papel desses terceiros, o que está sendo analisado e como essa atuação contribui para a investigação, para a mitigação dos riscos e para a correção das vulnerabilidades identificadas. Essa transparência reforça a confiança das vítimas e demonstra o comprometimento da organização em lidar adequadamente com o incidente.
4.8 Indique um ponto de contato para esclarecimento de dúvidas.
Uma mensagem de alerta pode gerar muitas dúvidas. Portanto, responda ao máximo de perguntas possível em sua mensagem de alerta. E indique como as vítimas podem entrar em contato com sua organização.
4.9 Novas atualizações
É possível que informações essenciais sobre o incidente só venham a ser descobertas no futuro.
Assim, a organização deve se comprometer a fornecer novas informações sempre que surgirem elementos relevantes sobre a violação de dados. À medida que a investigação avança, podem ser identificados detalhes adicionais sobre a causa do incidente, a extensão do impacto, os dados efetivamente comprometidos ou os riscos envolvidos.
Sempre que houver novidades significativas, essas atualizações devem ser comunicadas às pessoas afetadas de forma tempestiva, clara e consistente com as orientações já fornecidas. Essa prática demonstra transparência, permite que os titulares ajustem suas próprias medidas de proteção e reforça a responsabilidade da empresa na gestão do incidente.
A nova indicação deverá deixar claro que se trata de um complemento a algo já informado, fornecendo as informações novas e relembrando pontos fundamentais já repassados.
Conclusão
A comunicação adequada de incidentes de segurança não é apenas uma obrigação legal imposta pela LGPD, mas uma prática essencial para a preservação da confiança, da transparência e da responsabilidade no tratamento de dados pessoais. Diante de um cenário em que a complexidade das ameaças digitais aumenta e os impactos sobre os titulares podem assumir dimensões relevantes, organizações precisam estar preparadas para agir de forma estruturada, célere e orientada à mitigação de riscos.
Este Guia reuniu recomendações práticas para a elaboração de comunicações claras, completas e eficazes, contemplando desde a identificação dos incidentes que devem ser reportados até as melhores práticas para informar os titulares sobre o ocorrido, seus possíveis impactos e as medidas de proteção disponíveis. Ao seguir essas orientações, as organizações fortalecem sua postura de compliance, reduzem potenciais danos e demonstram compromisso com o tratamento adequado e seguro das informações pessoais sob sua responsabilidade.
Além disso, reforça-se que a gestão de um incidente não se encerra com o envio da primeira comunicação. A evolução das apurações internas pode revelar novos elementos relevantes, exigindo atualizações adicionais aos titulares. Manter um fluxo contínuo e transparente de informações é fundamental para garantir que as pessoas afetadas possam compreender a situação, adotar precauções necessárias e exercer plenamente seus direitos.
Por fim, a adoção de processos maduros de resposta a incidentes, aliada à constante avaliação dos riscos e ao aprimoramento das medidas técnicas e administrativas de segurança, contribui significativamente para a proteção dos titulares e para a consolidação de uma cultura organizacional de privacidade e proteção de dados. Este Guia busca apoiar as empresas nesse caminho, fornecendo uma referência prática e alinhada às melhores práticas nacionais e internacionais, para que a atuação em momentos críticos seja segura, responsável e alinhada aos princípios da LGPD.
