A LGPD exige notificação à ANPD "em prazo razoável" — a ANPD definiu 72 horas como padrão. Mas o que vai dentro da notificação é igualmente importante.
Por ALC Consultoria · Atualizado abr/2026
O art. 48 da LGPD determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A Resolução CD/ANPD nº 2/2022 detalha os critérios de relevância. A notificação é obrigatória quando o incidente envolver:
Dados pessoais sensíveis (saúde, biometria, dados de crianças, etc.)
Grande número de titulares afetados (a ANPD não define um número exato — use bom senso + proporcionalidade)
Dados financeiros com potencial de fraude imediata
Situações em que há risco de discriminação, dano patrimonial, dano moral, estigmatização ou comprometimento da integridade física
1. Identificação do controlador
Nome, CNPJ, endereço, dados de contato do responsável e do DPO (Encarregado). Se não houver DPO nomeado, indicar quem está respondendo pelo incidente.
2. Data e hora da ciência do incidente
Quando a empresa teve conhecimento do incidente — não quando ele ocorreu. O prazo de 72h conta a partir deste momento. Registre com precisão.
3. Descrição do incidente
Natureza do incidente (vazamento, acesso não autorizado, ransomware, etc.), como aconteceu (se já souber), sistemas e infraestrutura afetados.
4. Categorias e volume de dados afetados
Quais categorias de dados foram afetados (dados cadastrais, financeiros, sensíveis, etc.) e estimativa do número de titulares. Pode ser um intervalo se a investigação ainda estiver em curso.
5. Riscos e consequências potenciais
Avaliação do impacto potencial para os titulares: risco de fraude, discriminação, dano patrimonial, exposição indevida. Seja específico — "risco de phishing" é melhor do que "possível impacto".
6. Medidas adotadas ou em adoção
O que foi feito para conter o incidente (isolamento de sistemas, revogação de credenciais, bloqueio de acesso), o que ainda está sendo investigado e o plano de ação para as próximas horas/dias.
A ANPD aceita notificação preliminar dentro de 72h com informações parciais, seguida de notificação complementar com detalhes completos. É melhor notificar dentro do prazo com informações parciais do que esperar para ter tudo completo e perder o prazo.
A notificação complementar não tem prazo fixo, mas deve ser enviada assim que as informações adicionais estejam disponíveis — tipicamente em 15 a 30 dias.
Esperar a investigação completa — a maioria das empresas perde o prazo de 72h esperando ter "certeza absoluta" sobre o escopo. A ANPD é tolerante com notificações preliminares, intransigente com prazo perdido.
Não documentar o momento de ciência — "quando soubemos" é o marco zero do prazo. Sem registro preciso, é impossível demonstrar que o prazo foi cumprido.
Notificar apenas a ANPD e esquecer os titulares — quando o risco é relevante para os titulares, ambas as comunicações são obrigatórias. A comunicação com os titulares deve ocorrer "em tempo hábil" (sem prazo fixo, mas quanto antes, melhor).
Usar linguagem vaga — "possível exposição de dados" sem detalhar tipo, volume e risco recebe pedido de complementação da ANPD, que atrasa a resolução e aumenta o escrutínio.
5 perguntas para determinar severidade, obrigação de notificação e o plano de ação das primeiras 72h.
Simulador gratuito →Por Anderson Chipak — auditor de sistemas críticos · ALC
