Guia Cibersegurança Conformidade

Resposta a incidentes de segurança: o que fazer nas primeiras 72 horas e quando notificar a ANPD

A Resolução CD/ANPD nº 15/2024 definiu 72 horas como prazo máximo para notificar a autoridade sobre incidentes de alto risco. Para cumprir esse prazo, sua empresa precisa detectar o incidente, confirmar que há dados pessoais envolvidos, classificar o nível de risco e preparar a notificação, tudo dentro de três dias. Empresas sem um plano de resposta documentado chegam a esse prazo sem ter concluído nenhuma dessas etapas.

7 de julho de 2026
8 min de leitura
Principais pontos
  • Incidentes que possam acarretar risco relevante a titulares de dados devem ser notificados à ANPD em 72 horas (Art. 48 + Resolução CD/ANPD nº 15/2024)
  • A notificação exige informações específicas: data do incidente, natureza dos dados afetados, número estimado de titulares e medidas adotadas
  • Nem todo incidente de segurança envolve dados pessoais — a primeira etapa é confirmar se houve acesso, modificação ou extração de dados de pessoas naturais
  • Titulares afetados também devem ser comunicados quando o incidente representa risco alto, em paralelo com a notificação à ANPD
  • A ANPD verifica a existência de um plano de resposta a incidentes em todas as fiscalizações proativas, e sua ausência é tratada como infração ao Art. 46

Por que as primeiras horas definem o resultado

A contenção precoce limita o volume de dados expostos. Em ataques de ransomware, cada hora sem isolamento aumenta o número de sistemas cifrados e o custo de recuperação. Em acessos não autorizados a bases de dados, cada hora adicional expande o escopo do que precisa ser reportado à ANPD.

A resposta sem um plano produz erros custosos: sistemas reinicializados antes de preservar logs forenses, backups sobrescritos durante a recuperação, comunicações enviadas pelo canal corporativo já comprometido. Esses erros dificultam a investigação e podem ampliar a exposição regulatória.

Do ponto de vista da ANPD, uma resposta documentada e proporcional ao risco demonstra comprometimento com o Art. 46, que exige medidas de segurança adequadas ao perfil de risco do tratamento. Uma resposta desorganizada ou tardia agrava a avaliação da infração. Empresas que chegam à ANPD com um relatório de incidente estruturado, logs preservados e um plano de ação documentado saem do processo com resultado diferente de empresas que chegam sem nenhum desses elementos.

72h
prazo para notificar a ANPD em incidentes de alto risco após tomar conhecimento
R$50M
multa máxima por infração, incluindo falha na notificação obrigatória
15 dias
para responder a solicitações dos titulares sobre dados afetados pelo incidente

O que qualifica como incidente notificável

Nem todo evento de segurança gera obrigação de notificação. O Art. 48 da LGPD aplica-se a incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados. A Resolução CD/ANPD nº 15/2024 detalhou os critérios de classificação de risco.

O ponto de partida é determinar se houve comprometimento de dados pessoais. Um ataque de DDoS que torna o site indisponível por horas não envolve dados pessoais e não gera obrigação de notificação. Um acesso não autorizado ao banco de dados de clientes, um e-mail com lista de CPFs enviado para destinatário errado, ou um notebook corporativo perdido com dados de funcionários, esses casos provavelmente sim.

Depois de confirmar que dados pessoais estão envolvidos, classifique o risco para os titulares. Os critérios relevantes incluem:

  • Natureza dos dados afetados: dados sensíveis (saúde, biometria, dados de crianças) elevam o risco automaticamente
  • Volume de titulares afetados: incidentes em larga escala recebem classificação mais alta
  • Possibilidade de uso indevido: se os dados permitem fraude financeira, roubo de identidade ou discriminação, o risco é alto
  • Reversibilidade: dados já publicados ou vendidos na dark web têm impacto irreversível
Regra prática

Na dúvida, notifique. A Resolução nº 15/2024 permite que a notificação inicial seja enviada com as informações disponíveis, com complemento posterior. Uma notificação incompleta enviada dentro de 72 horas é tratada de forma mais favorável pela ANPD do que uma notificação completa enviada com atraso.

As seis fases de resposta a incidentes

Um plano de resposta estruturado divide o trabalho em fases sequenciais. Pular fases ou executá-las fora de ordem é o erro mais comum em respostas ad hoc.

1. Preparação

Tudo que precisa estar pronto antes de um incidente acontecer: o plano de resposta documentado, a equipe designada com contatos de emergência atualizados, os playbooks para os cenários mais prováveis (ransomware, acesso não autorizado, vazamento por terceiro), e os acessos administrativos necessários para contenção. Sem preparação, as fases seguintes dependem de decisões tomadas sob pressão, sem referência.

O plano também deve incluir os critérios para acionar o encarregado de dados (DPO), o jurídico e a alta gestão, e o processo para avaliação de notificação à ANPD. A Cyvra apoia equipes de TI no Brasil na elaboração e teste desses planos.

2. Identificação

Detectar e confirmar o incidente. Isso inclui determinar: o que aconteceu exatamente, quando começou, quais sistemas estão afetados, se dados pessoais foram acessados ou exfiltrados, e se o atacante ainda está ativo na rede. Preserve todos os logs antes de qualquer ação de contenção. Logs sobrescritos ou sistemas reinicializados sem captura de evidências comprometem a investigação forense e a capacidade de reportar o incidente com precisão à ANPD.

3. Contenção

Isole os sistemas afetados para interromper a propagação. A contenção pode ser imediata (desconectar um servidor da rede) ou de curto prazo (revogar credenciais comprometidas, bloquear endereços IP). Documente cada ação com timestamp. A contenção não é recuperação: o objetivo aqui é parar o dano, não restaurar o serviço. Restaurar antes de conter é um erro frequente que permite reinfecção.

4. Erradicação

Remova a causa raiz do incidente: o malware, a credencial comprometida, a vulnerabilidade explorada. Confirme que o atacante não mantém acesso persistente antes de prosseguir para a recuperação. Em casos de ransomware, isso significa limpar os sistemas afetados antes de restaurar backups. Restaurar a partir de um backup sem erradicar o vetor de ataque resulta em reinfecção imediata.

5. Recuperação

Restaure os sistemas a partir de backups verificados como limpos, reimplante configurações e monitore ativamente nos dias seguintes para detectar sinais de reativação. Valide que os sistemas restaurados estão operacionais e que os dados recuperados estão íntegros antes de retornar à operação normal.

6. Análise pós-incidente

Documente o que aconteceu, o que funcionou no plano, o que falhou e o que precisa ser corrigido. Essa análise alimenta a atualização do plano de resposta e das medidas de segurança preventivas. A ANPD pode solicitar esse relatório em processos de fiscalização. Empresas que não documentam incidentes passados têm dificuldade em demonstrar que adotam medidas de melhoria contínua conforme exigido pelo Art. 46.

Restaurar antes de conter é o erro mais caro na resposta a incidentes. Cada reinicialização apressada apaga evidências e pode reativar o que você ainda não removeu.

O que incluir na notificação à ANPD

A Resolução CD/ANPD nº 15/2024 define os campos obrigatórios da notificação. A ANPD disponibiliza um formulário eletrônico para o envio, que pode ser preenchido com as informações conhecidas no momento e complementado posteriormente.

1
Data do incidente e data de conhecimento
Quando o incidente ocorreu (ou o período estimado) e quando o controlador tomou conhecimento. Se houver diferença entre as duas datas, explique o motivo da demora na detecção.
2
Natureza e categorias dos dados afetados
Que tipos de dados foram comprometidos: nomes, CPFs, dados de saúde, dados financeiros, biometria. Se dados sensíveis (Art. 5, II) estiverem envolvidos, sinalize explicitamente.
3
Número estimado de titulares
Informe o número de titulares afetados ou, se ainda não for conhecido, uma estimativa fundamentada. Atualize esse número no complemento da notificação conforme a investigação avança.
4
Possível repercussão e riscos para os titulares
Descreva os riscos concretos que os titulares afetados enfrentam: fraude, roubo de identidade, discriminação, dano financeiro. Seja específico sobre o tipo de dado e o risco correspondente.
5
Medidas técnicas e de segurança adotadas
O que foi feito imediatamente após o incidente: contenção, revogação de acessos, preservação de logs, comunicação interna. Inclua também as medidas preventivas que já estavam em vigor antes do incidente.
6
Razões de eventual demora na comunicação
Se a notificação não foi enviada dentro de 72 horas do conhecimento do incidente, explique as razões. A ANPD aceita justificativas documentadas como complexidade técnica da investigação ou número elevado de sistemas afetados.

Além da notificação à ANPD, avalie se os titulares afetados precisam ser comunicados diretamente. O Art. 48, §1º prevê essa comunicação quando o incidente puder acarretar risco ou dano relevante. Em incidentes que envolvam dados financeiros, dados de saúde ou dados de crianças, notifique os titulares em paralelo com a ANPD, sem aguardar a conclusão do processo regulatório.

Como estruturar seu plano antes de precisar dele

Um plano de resposta a incidentes não precisa ser um documento de 50 páginas. Para a maioria das empresas de médio porte no Brasil, um plano funcional cobre seis elementos.

1. Defina a equipe e os contatos de emergência

Liste quem é responsável por cada fase: quem declara o incidente, quem coordena a contenção, quem aciona o encarregado de dados, quem comunica com a ANPD, quem faz a comunicação externa. Inclua números de celular pessoal — o canal corporativo pode estar comprometido. Mantenha a lista atualizada a cada mudança de equipe.

2. Documente os critérios para notificação à ANPD

Defina internamente quando um incidente exige notificação obrigatória. Os critérios da Resolução nº 15/2024 são o ponto de partida, mas traduza-os para os tipos de dados que sua empresa trata. Um hospital tem critérios diferentes de uma loja de e-commerce. Ter isso definido antes do incidente evita decisões erradas sob pressão.

3. Crie playbooks para os cenários mais prováveis

Ransomware, acesso não autorizado a banco de dados, perda de dispositivo com dados e vazamento por fornecedor são os quatro cenários mais comuns. Cada playbook deve cobrir os primeiros passos de contenção, os logs a preservar, quem acionar e o prazo para a avaliação inicial de notificação.

4. Estabeleça o processo de preservação de evidências

Defina que nenhum sistema afetado é reinicializado ou formatado antes da captura de logs. Inclua instruções simples para membros da equipe sem formação técnica: tirar screenshots de mensagens de erro, não desligar máquinas afetadas antes da instrução da equipe de segurança, não acessar sistemas comprometidos pelo canal corporativo.

5. Teste o plano ao menos uma vez por ano

Um plano não testado é uma lista de boas intenções. Realize ao menos um exercício tabletop por ano: simule um incidente de ransomware ou vazamento de dados e percorra as fases com a equipe. O exercício revela lacunas nos contatos, nos acessos e nas responsabilidades que não aparecem na leitura do documento.

6. Revise o plano após cada incidente real

Todo incidente, mesmo menor, gera aprendizados. Documente o que funcionou, o que falhou e o que mudou na configuração da empresa desde o último teste. A ANPD considera a evidência de melhoria contínua como fator positivo na avaliação de comprometimento com o Art. 46.

Cyvra pode ajudar

Nossa equipe desenvolve planos de resposta a incidentes adaptados ao perfil de risco de cada organização, conduz exercícios tabletop e apoia a estruturação do processo de notificação à ANPD. Se sua empresa já está gerenciando um incidente ativo, entre em contato imediatamente. Fale com nossa equipe.

Perguntas frequentes sobre resposta a incidentes e notificação à ANPD

Todo incidente de segurança precisa ser notificado à ANPD?

Não. A obrigação de notificação do Art. 48 da LGPD aplica-se especificamente a incidentes que envolvam dados pessoais e que possam acarretar risco ou dano relevante aos titulares. Um ataque de DDoS que derruba o site sem expor dados não gera obrigação de notificação. Um acesso não autorizado a um banco de dados com dados de clientes, por outro lado, provavelmente sim. A Resolução CD/ANPD nº 15/2024 define os critérios de classificação: incidentes de alto risco ou risco médio com grande número de titulares afetados precisam ser comunicados em 72 horas.

O que acontece se não notificarmos a ANPD dentro de 72 horas?

A ausência de notificação ou a notificação intempestiva é em si uma infração à LGPD, independentemente da gravidade do incidente original. A ANPD considera a demora injustificada como agravante no processo administrativo. Na prática, uma notificação tardia mas acompanhada de justificativa documentada tende a receber tratamento diferente de uma omissão deliberada. O essencial é notificar assim que houver base razoável para acreditar que dados pessoais foram afetados, mesmo que o escopo completo ainda não seja conhecido.

Os titulares afetados também precisam ser notificados?

Sim, quando o incidente representar risco alto para os titulares. O Art. 48, §1º da LGPD prevê que o controlador deve comunicar o incidente aos próprios titulares quando o incidente puder acarretar-lhes risco ou dano relevante. Em incidentes que envolvam dados financeiros, dados de saúde ou dados de crianças, notifique os titulares em paralelo com a ANPD, sem aguardar a conclusão do processo regulatório.

O que deve constar na notificação à ANPD?

A Resolução CD/ANPD nº 15/2024 define os campos obrigatórios: a data do incidente e a data em que o controlador tomou conhecimento; a natureza e as categorias dos dados pessoais afetados; o número estimado de titulares afetados; a possível repercussão e os riscos para os titulares; as medidas técnicas e de segurança adotadas; e as razões de eventual demora na comunicação. A ANPD disponibiliza formulário eletrônico para esse envio e aceita notificações iniciais com informações parciais, desde que complementadas posteriormente.

Uma pequena empresa precisa de um plano formal de resposta a incidentes?

Sim. O Art. 46 da LGPD exige que controladores adotem medidas de segurança proporcionais ao risco do tratamento, e um plano de resposta a incidentes é uma dessas medidas. Para PMEs, o plano não precisa ser extenso: um documento com os contatos de emergência, os passos de contenção, os critérios para acionar a notificação à ANPD e as responsabilidades da equipe já atende o requisito. A ANPD verifica a existência desse plano nas fiscalizações proativas e sua ausência é tratada como infração ao Art. 46.

Resposta a Incidentes

Prepare seu plano antes do incidente acontecer

A Cyvra desenvolve planos de resposta a incidentes, conduz exercícios tabletop e estrutura o processo de notificação à ANPD para empresas no Brasil.