Plataforma de IA terceira tambem responde por incidente nela?

Sim, como operadora — mas o controlador (voce) tambem responde solidariamente. Tenha contrato (DPA) com plataforma que define responsabilidades e prazos.

E se nao tenho certeza se houve incidente?

Notifique mesmo assim, como "incidente em investigacao". E mais seguro que descobrir depois e ter que justificar atraso.

Quanto vai me custar?

Variavel. Custo direto: pode ter multa (ate R$ 50 mi por infracao), danos morais individuais (R$ 1.000-10.000 por titular em jurisprudencia recente), custo de comunicacao e remediacao. Boa preparacao reduz muito.

Incidente LGPD: o que fazer nas primeiras horas se vazar dado de cliente

Vazamento de dado vai acontecer um dia. Pode ser ataque, pode ser engenharia social, pode ser funcionario desatento. O que diferencia empresa preparada da despreparada e ter um plano de resposta. A LGPD obriga comunicar a ANPD e o titular, e a Resolucao CD/ANPD nº 15/2024 fixou o prazo: 3 dias uteis a contar de quando o controlador soube que o incidente afetou dados pessoais. Para agentes de pequeno porte (a maioria das PMEs), o prazo conta em dobro: 6 dias uteis. Sem plano, esse relogio fica impossivel de cumprir.

1.508

incidentes de seguranca comunicados a ANPD em 2025 (alta de cerca de 8% sobre 2024).

Fonte: ANPD · Comunicacoes de Incidentes de Seguranca

3 dias uteis

prazo para notificar a ANPD apos saber do incidente (6 dias uteis para empresa de pequeno porte).

Fonte: Resolucao CD/ANPD nº 15/2024

R$ 50 mi

multa maxima da ANPD por infracao (ate 2% do faturamento, limitado a esse teto) — alem de danos morais individuais.

Fonte: LGPD art. 52 (Lei 13.709/2018)

Quando e incidente reportavel

A LGPD usa o criterio de risco ou dano relevante ao titular. Em pratica, notifique a ANPD quando: (1) dado pessoal foi acessado sem autorizacao, (2) ha risco para o titular (financeiro, reputacional, fisico) e (3) o volume e relevante. Em duvida, notifique — o pior cenario e ser pego sem ter notificado.

Segundo os dados agregados da ANPD, os incidentes mais comuns no Brasil sao sequestro de dados (ransomware), exploracao de vulnerabilidades em sistemas, roubo de credenciais e fraudes por engenharia social — exatamente os vetores que atingem PMEs com TI enxuta. Conhecer o padrao ajuda a priorizar prevencao.

Plano de resposta em 6 passos

Passo 1: Conter (primeira 1h)

Isolar sistema/conta afetada.
Trocar senhas relevantes.
Revogar tokens/acessos comprometidos.
Acionar suporte tecnico (TI proprio, plataforma, fornecedor).

Passo 2: Documentar (primeira 6h)

O que vazou (tipos de dado: nome, CPF, email, telefone, dado sensivel).
Quando aconteceu — data e hora estimadas.
Como descobriu — relato detalhado.
Quantos titulares afetados — estimativa minima.
Quem acessou ou poderia ter acessado.
Salvar logs e evidencias antes que sejam sobrescritas.

Passo 3: Avaliar risco (primeira 12h)

Nivel de risco define obrigacao de notificar. Alto risco: dado sensivel (saude, biometria), dado financeiro (cartao, conta), dado de menor. Baixo risco: nome+email isolados. Quando duvida, considere alto.

Passo 4: Notificar a ANPD (em 3 dias uteis — 6 se for pequeno porte)

Notificacao via formulario eletronico oficial em gov.br/anpd, feita pelo encarregado ou representante. Conforme a Resolucao CD/ANPD nº 15/2024, o prazo e de 3 dias uteis desde que o controlador soube que o incidente afetou dados pessoais — dobrado para 6 dias uteis quando voce e agente de pequeno porte. Informacoes minimas: natureza e categoria dos dados afetados, medidas de seguranca usadas, riscos e impactos ao titular, data do conhecimento, medidas adotadas e contato do encarregado. Dados que faltarem podem ser complementados em ate 20 dias uteis.

Passo 5: Comunicar titulares (quando ha risco)

Se o risco for alto e concreto, comunique os titulares afetados — tambem em 3 dias uteis (6 para pequeno porte), pelo mesmo regulamento. A comunicacao deve ser clara, individualizada, em linguagem simples e por canal apropriado (email cadastrado, WhatsApp, SMS). Modelo de mensagem na proxima secao.

Passo 6: Aprender e prevenir (apos 30 dias)

Postmortem: o que falhou, por que aconteceu.
Atualizar politica de seguranca com aprendizados.
Treinar equipe sobre o cenario que falhou.
Documentar tudo no RIPD (Registro de Operacoes).
Considerar auditoria externa se incidente foi grande.

O controlador deve comunicar a autoridade nacional e ao titular a ocorrencia de incidente de seguranca que possa acarretar risco ou dano relevante.
— Lei 13.709/2018 — art. 48

Modelo de comunicacao ao titular

Adapte: "{nome}, identificamos em {data} um incidente de seguranca que pode ter exposto seus dados pessoais ({tipos de dado}). Estamos investigando e ja tomamos as seguintes medidas: {medidas}. Recomendamos: {recomendacoes ao titular — trocar senha, monitorar conta etc.}. Notificamos a ANPD em {data}. Para duvidas, contato: {email DPO}."

O que NAO fazer

Tentar esconder — descoberto depois e infracao agravada.
Comunicar publicamente antes da ANPD — comunicado oficial primeiro.
Apagar logs — destruir evidencia agrava sancao.
Culpar o cliente ou minimizar o incidente publicamente.
Estourar o prazo (3 dias uteis, ou 6 para pequeno porte) sem registrar a justificativa da demora.

Empresa que demonstra boa-fe e diligencia geralmente recebe sancao menor — desde advertencia ate multa reduzida. Esconder ou negligenciar agrava.

Referências

Resolucao CD/ANPD nº 15/2024 — Regulamento de Comunicacao de Incidente de Seguranca — ANPD, 2024
ANPD divulga dados agregados sobre Comunicacoes de Incidentes de Seguranca — ANPD, 2025
Lei nº 13.709/2018 (LGPD) — texto compilado — Planalto, 2018
Incidentes de seguranca com dados pessoais: comunicar e preciso, mas nem sempre — Agencia Gov / Serpro, 2025

Perguntas frequentes

Sim. Qualquer representante legal da empresa pode notificar. PME pode usar o responsavel pelo tratamento (geralmente o proprio dono ou o socio administrador).