Pense no seguinte cenário:
Uma segunda-feira de manhã: sua equipe chega, abre os sistemas e algo não está certo. Dados de clientes não aparecem onde deveriam. Um arquivo foi acessado de fora. Ou pior: você recebe um e-mail comunicando que informações da sua empresa estão circulando pela internet.
Desde a Resolução nº 15/2024 da ANPD, toda empresa que opera no Brasil tem um prazo legal para comunicar à Autoridade Nacional de Proteção de Dados qualquer incidente de segurança que possa causar risco ou dano relevante a titulares de dados.
3 dias úteis é o prazo legal para comunicar um incidente à ANPD.
Não são semanas, são três dias úteis.
E o detalhe que muda tudo: a comunicação tardia ou a omissão são agravantes da multa. Quanto mais tempo você demorar para reportar, pior fica sua situação perante a lei.
Há um responsável identificado? Existe um protocolo escrito? Há modelo de comunicação para a ANPD? Para os clientes afetados?
Na maior parte das empresas médias brasileiras, a resposta honesta é: não. Às vezes pode parecer improvável ou distante da realidade dessas empresas. Até o dia em que não é mais.
A legislação prevê dois vetores de exposição simultâneos:
Administrativo: multa de até 2% do faturamento bruto (teto de R$ 50 milhões por infração), além de multa diária enquanto o problema não for resolvido.
Civil: o STJ já confirmou que a responsabilidade do controlador de dados é objetiva, basta provar que o dano ocorreu. Ações de clientes afetados podem correr paralelamente ao processo administrativo.
E ainda há um terceiro vetor, mais difícil de quantificar: o dano à reputação. A ANPD pode determinar a publicização da infração. Ou seja, os clientes (e concorrentes) ficam sabendo.
Quem é notificado internamente quando um incidente é suspeito
Quem tem autoridade para confirmar e acionar o protocolo formal
Quem comunica à ANPD, com modelo de comunicado já estruturado
Quem comunica aos titulares afetados: clientes, funcionários, parceiros
Onde fica o registro do incidente, obrigação de manutenção por 5 anos
Quem é o DPO: o Encarregado de Dados responsável por coordenar tudo isso
Esse protocolo precisa existir antes do incidente!
Mas a pergunta não é sobre os dados em si, mas o que você faria se descobrisse que alguém mais também tem acesso.
A Fluir ajuda empresas a construir processos de segurança da informação e resposta a incidentes!
Fale com nosso time e descubra onde sua empresa está exposta antes que alguém de fora descubra primeiro.