Saiba como agir diante de um incidente de segurança de dados sob a LGPD, respeitando prazos e documentando tudo corretamente.
Este artigo explica como a LGPD trata incidentes de segurança de dados, os prazos para notificação, o que registrar e como agir de forma prática e objetiva para proteger sua empresa e cumprir a lei.
A Lei Geral de Proteção de Dados, ou LGPD, é a legislação brasileira que regula como empresas devem tratar dados pessoais. Ela estabelece regras para proteger informações sensíveis, como nome, CPF e endereço, e define responsabilidades em caso de problemas. Um incidente de segurança ocorre quando esses dados são acessados, vazados ou perdidos de forma não autorizada. Isso pode acontecer por um ataque de hackers, um erro interno ou até mesmo um descuido, como deixar um computador desprotegido. A LGPD exige que empresas ajam rápido para minimizar danos e informem as autoridades e os afetados.
De acordo com a LGPD, quando um incidente de segurança acontece, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) em até 2 dias úteis após tomar conhecimento do problema. Esse prazo é curto porque a rapidez na resposta pode reduzir os impactos para as pessoas afetadas. Além disso, se o incidente representar risco ou dano relevante aos titulares dos dados, essas pessoas também devem ser comunicadas, sem demora injustificada. Por exemplo, se um banco sofre um vazamento de dados de clientes, ele precisa agir dentro desse período para evitar multas e perda de confiança.
Documentar tudo é essencial para demonstrar que a empresa está seguindo a LGPD. É importante registrar detalhes específicos para análise e para reportar à ANPD. Isso inclui:
Esses registros ajudam a identificar falhas e a provar que a empresa agiu de forma responsável. Um exemplo prático seria uma loja online que sofre um vazamento: ela deve anotar tudo, desde o momento da descoberta até as ações tomadas, para apresentar à ANPD, se necessário.
Responder a um incidente de segurança exige foco e organização. Primeiro, é preciso identificar a origem do problema e interromper o vazamento, como desligar sistemas comprometidos. Depois, avalie o impacto: quantas pessoas foram afetadas? Quais dados foram expostos? Comunique a ANPD dentro do prazo de 2 dias úteis e, se necessário, informe os titulares dos dados com clareza, explicando o que aconteceu e como eles podem se proteger. Por fim, revise os processos internos para evitar que o problema se repita. Um caso real seria uma clínica médica que descobre um acesso não autorizado a prontuários: ela deve agir rápido, notificar as partes envolvidas e reforçar a segurança dos sistemas.
Se a empresa não notificar a ANPD no prazo de 2 dias úteis, pode receber multas, advertências ou até ter sua reputação prejudicada. As penalidades variam de acordo com a gravidade do caso, mas podem chegar a milhões de reais.
Qualquer incidente que comprometa dados pessoais e represente risco ou dano aos titulares deve ser reportado. Isso inclui vazamentos, acessos não autorizados ou perda de informações sensíveis.
Invista em políticas de segurança, treine sua equipe para lidar com dados pessoais e tenha um plano de resposta a incidentes. Contratar especialistas em proteção de dados também pode ajudar a evitar problemas.
Garanta a conformidade com a LGPD e proteja seus dados contra incidentes de segurança. Nossos especialistas ajudam a implementar soluções personalizadas para sua empresa.
Conheça: Pentest, Threat Intelligence com IA, Conscientização, SGSI, Plano Diretor de Segurança e Auditoria Interna. lcsec.io