Empresas privadas e entes da administração pública que realizem tratamento de dados pessoais ficam obrigados a comunicar à Autoridade Nacional de Proteção de Dados (ANPD), no prazo de até três dias úteis a contar da ciência do fato, a ocorrência de vazamentos ou incidentes de segurança considerados relevantes.
A obrigação decorre da Resolução CD/ANPD nº 15, em vigor desde abril de 2024 e cuja aplicação vem sendo intensificada a partir do segundo semestre de 2025. O objetivo da norma é reforçar a transparência nas operações de tratamento de dados e assegurar a tutela dos direitos dos titulares diante do aumento de ataques cibernéticos e de falhas operacionais.
A notificação é exigida apenas quando o incidente representar risco significativo aos direitos dos titulares, especialmente nos casos em que estejam envolvidos:
- tratamento em larga escala;
- dados sensíveis ou de crianças e adolescentes;
- informações financeiras, biométricas ou sujeitas a sigilo legal.
O prazo padrão é de três dias úteis, salvo para agentes de pequeno porte — como microempresas, startups e organizações sem fins lucrativos —, que podem notificar em até seis dias úteis. Mesmo quando dispensada a comunicação formal, a organização deverá manter registro interno do incidente por cinco anos, com vistas a auditorias, defesas administrativas e eventuais processos judiciais.
Desde julho de 2025, a ANPD tem ampliado sua fiscalização, notificando empresas por falhas na proteção de dados ou pela omissão na comunicação de incidentes. As sanções previstas na Lei Geral de Proteção de Dados (LGPD) incluem advertências e multas que podem atingir R$ 50 milhões por infração, além dos impactos reputacionais decorrentes.
A intensificação do controle regulatório coincide com o crescimento expressivo de violações no país, a exemplo de um dos maiores vazamentos de credenciais já registrados, que expôs bilhões de dados. O episódio reforça a necessidade de políticas robustas de prevenção e resposta, bem como da comunicação célere e transparente à autoridade competente.
Consta ainda da Agenda Regulatória 2025–2026 da ANPD a previsão de novas normas voltadas à utilização de inteligência artificial, ao tratamento de dados biométricos e às atividades de órgãos públicos, o que sinaliza um endurecimento progressivo das exigências regulatórias.
Nesse cenário, cabe às organizações revisar seus mecanismos de governança e segurança da informação, atualizar procedimentos internos e capacitar equipes para detectar, registrar e notificar incidentes no prazo legal. A pronta comunicação não apenas mitiga riscos sancionatórios, mas também preserva a confiança de clientes, usuários e cidadãos no relacionamento institucional.
Fonte: https://www.contabeis.com.br/noticias/72268/anpd-exige-notificacao-de-vazamentos-de-dados-em-3-dias/