ALC | Incidente LGPD
Simulador →
Art. 48 LGPD

O prazo de 72h — como contar e o que acontece se vencer

A LGPD diz "prazo razoável". A ANPD definiu 72 horas como prazo-padrão para notificação de incidentes com risco relevante. Entender como essa contagem funciona é crítico.

Por ALC Consultoria · Atualizado abr/2026

O que diz a LGPD e a ANPD

O art. 48 da LGPD determina que o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável.

A Resolução CD/ANPD nº 2/2022 estabeleceu o prazo de 72 horas úteis contadas a partir da ciência do incidente pela organização — e a notificação preliminar pode ser enviada dentro desse prazo com informações parciais.

O marco zero: "ciência do incidente"

A contagem começa quando a organização tomou conhecimento do incidente — não quando ele ocorreu. Isso parece simples, mas na prática gera dúvidas:

Quando o prazo começa

Alerta de sistema de monitoramento (SIEM, antivírus, IDS)

Comunicação de fornecedor (ex: AWS notifica que dados foram acessados)

Relatório de analista de TI sobre acesso suspeito

Comunicação de pesquisador de segurança (responsible disclosure)

Notícia em veículo especializado sobre dados da empresa sendo comercializados

Não use como justificativa para atrasar

"Ainda não confirmamos o escopo" — notificação preliminar com informações parciais é aceita

"Estávamos investigando internamente" — investigação não suspende o prazo

"Esperávamos confirmação jurídica" — a obrigação não depende de análise jurídica concluída

Fins de semana e feriados

A Resolução ANPD nº 2/2022 estabelece que o prazo é contado em horas úteis. Na prática, isso significa:

Ciência em

Prazo final (72h úteis)

Segunda às 9h

Quarta às 17h (aprox.)

Sexta às 16h

Terça (próxima semana) às ~9h

Véspera de feriado às 14h

Estende até dia útil seguinte ao feriado

Recomendação prática: trate como 72 horas corridas quando o incidente for grave. A distinção entre horas úteis e corridas pode ser interpretada de forma diferente pela ANPD, e errar para o lado da prudência não tem custo.

O que fazer se o prazo venceu

Se o prazo de 72h passou sem notificação, o cenário não é irreversível — mas precisa de ação imediata:

1.

Notificar a ANPD imediatamente, mesmo fora do prazo. A notificação extemporânea é menos grave do que não notificar.

2.

Explicar o motivo do atraso na própria notificação — escopo ainda em investigação, acesso tardio às informações, etc. Transparência reduz o agravante.

3.

Documentar medidas corretivas adotadas desde a ciência do incidente — demonstra boa-fé e diligência mesmo com o prazo perdido.

4.

Consultar assessoria jurídica especializada em LGPD — a estratégia de comunicação com a ANPD após o vencimento do prazo deve ser cuidadosamente planejada.

Classifique seu incidente agora

Use o simulador para determinar severidade, obrigação de notificação e o plano das primeiras 72h — antes que o prazo vença.

Simulador gratuito →

Neste site

Simulador de incidente O que reportar à ANPD → Prazo de 72h

Sites relacionados

Calculadora de multa LGPD → Preciso de DPO? →

Diagnóstico

Prepare sua empresa para a resposta a incidentes — 60 min, gratuito.

Solicitar →

Por Anderson Chipak — auditor de sistemas críticos · ALC