O prazo para reagir a incidentes de segurança envolvendo dados pessoais no Brasil encolheu — e a tolerância da Autoridade Nacional de Proteção de Dados (ANPD) também. Empresas privadas e órgãos públicos que coletam, armazenam ou processam informações de clientes, usuários ou cidadãos agora devem comunicar vazamentos e falhas relevantes em até três dias úteis após tomarem conhecimento do incidente.
A obrigação, prevista na Resolução CD/ANPD nº 15, está em vigor desde abril de 2024, mas passou a ser aplicada com mais rigor no segundo semestre de 2025. O objetivo é claro: aumentar a transparência, acelerar a resposta e minimizar prejuízos aos titulares dos dados, num cenário de crescimento exponencial de ataques cibernéticos e falhas operacionais.
Critérios que definem a obrigação de notificar
A regulamentação exige a comunicação à ANPD e aos titulares apenas quando houver risco relevante aos direitos dos afetados e se pelo menos um dos seguintes fatores estiver presente:
- Tratamento de dados em larga escala;
- Envolvimento de dados sensíveis ou pertencentes a crianças e adolescentes;
- Exposição de informações financeiras, biométricas ou protegidas por sigilo legal.
C6 Bank, XP Inc e PagBank abrem vagas em Cibersegurança:
Você está em busca de uma virada na sua carreira em 2026? O setor financeiro está fervendo e os maiores…
Conta de luz em risco? Entenda a guerra bilionária que
Um “puxadinho” na nova lei do setor elétrico colocou gigantes da energia e o Governo em pé de guerra. Entenda…
Oportunidade de ouro: IFSP libera 4.500 vagas em cursos de
Quer entrar no mercado de TI sem pagar nada? O Instituto Federal de São Paulo (IFSP) acaba de abrir inscrições…
O fim do Windows? Google e Samsung unem forças e
Prepare o monitor: a nova atualização do Android 16 acaba de transformar seu celular em um computador completo. Entenda a…
Apple choca o mercado e lança MacBook Neo por preço
Em estratégia inédita para driblar a crise dos chips, gigante de Cupertino aposta em notebook “popular” com bateria de 16…
Samsung lança no Brasil tela 3D que dispensa óculos e
Nova tecnologia Spatial Signage transforma imagens comuns em experiências 3D realistas para revolucionar lojas e escritórios; conheça o display de…
Para o advogado Bruno Fuentes, especialista em Direito da Tecnologia e Cibersegurança do GMP | G&C Advogados Associados, a mudança é histórica:
“Pela primeira vez, a ANPD fornece critérios objetivos. Agora as empresas sabem exatamente quando devem notificar, e o que pode acontecer se não o fizerem. A comunicação tem que ser rápida, técnica e transparente. O improviso, nesse contexto, é um grande inimigo.”
Prazos, exceções e penalidades mais duras
O prazo padrão para notificação é de 3 dias úteis, mas pode chegar a 6 dias para agentes de pequeno porte, como microempresas, ONGs ou startups. Mesmo que a organização conclua que não é necessário notificar a ANPD, deverá manter um registro interno do incidente por 5 anos — documentação que poderá ser requisitada em fiscalizações futuras.
A postura mais ativa da ANPD já está gerando impactos concretos. Desde julho de 2025, mais de 20 empresas foram notificadas por não comunicarem incidentes ou por falhas graves no tratamento de dados. As penalidades previstas pela Lei Geral de Proteção de Dados (LGPD) variam de advertências a multas de até R$ 50 milhões por infração, sem contar o dano à imagem corporativa.
“Negligenciar a LGPD deixou de ser um risco teórico. A autoridade está atuando, e cada caso de omissão se torna um precedente para penalidades mais severas”, alerta Fuentes.
Cenário nacional e riscos crescentes
O Brasil vive um momento crítico em cibersegurança. Nos últimos meses, o país foi palco de um dos maiores vazamentos de senhas e credenciais já registrados, com bilhões de dados expostos. O caso teve repercussão internacional e acendeu alertas sobre a vulnerabilidade das infraestruturas digitais nacionais.
Relatórios recentes apontam que setores como saúde, varejo e serviços financeiros estão entre os mais visados por ataques, em função do grande volume de dados sensíveis que armazenam e do valor que essas informações têm no mercado ilegal.
A Agenda Regulatória 2025–2026 da ANPD inclui temas que devem tornar as regras ainda mais rigorosas, como a regulação do uso de inteligência artificial, dados biométricos e o tratamento de informações por órgãos públicos.
“É um movimento claro de amadurecimento da autoridade. A tendência é que as exigências aumentem, não diminuam”, avalia Fuentes.
Preparação imediata é essencial
Para as empresas, o recado é simples: quem não se preparar agora, corre riscos altos.
“Ter um plano formal, com atribuições claras, sistema de detecção e canal com a ANPD é o básico. Esperar o incidente acontecer para montar uma estratégia é um erro que pode custar muito caro”, reforça Fuentes.
Um elemento central dessa preparação é o encarregado de dados (DPO), figura que ganhou ainda mais importância com a Resolução nº 18/2024. Cabe a ele coordenar as ações internas, manter a comunicação com a ANPD, orientar os responsáveis técnicos e assegurar que os registros estejam sempre atualizados.
Tendência irreversível
Com prazos curtos, multas elevadas e riscos de exposição pública, a cultura de proteção de dados no Brasil entra em uma nova fase. O avanço das normas mostra que a ANPD não pretende ser apenas uma entidade reguladora, mas um agente ativo de fiscalização e de estímulo ao amadurecimento do mercado.
Para as empresas, o desafio é alinhar tecnologia, processos e governança de dados — não apenas para evitar multas, mas para construir confiança num momento em que a reputação é um ativo tão valioso quanto qualquer outro.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
