Atualizado em 15 de maio de 2026
Identificou um possível incidente de segurança envolvendo dados pessoais? As primeiras 72 horas determinam o tom de toda a resposta — para os titulares, para a ANPD e para a continuidade do negócio.
Hora 0–6: contenção
Isolar sistemas comprometidos, congelar credenciais suspeitas, preservar evidências (logs, snapshots). Acionar o time técnico interno e, se aplicável, equipe externa de resposta.
Hora 6–24: diagnóstico
Quais dados foram acessados? Quantos titulares? Há dados sensíveis? Vetor de ataque conhecido? Essas respostas alimentam a decisão de notificar a ANPD.
Hora 24–48: comunicação interna
Alinhar com jurídico, compliance, comunicação e diretoria. Aprovar narrativa pública mínima, se o incidente for público.
Hora 48–72: notificações externas
Notificar a ANPD pelo formulário oficial e os titulares afetados, quando for o caso. A LGPD não impõe prazo rígido, mas a ANPD recomenda 72 horas como referência.
O pior cenário é o silêncio: notificações tardias agravam a posição da empresa em fiscalização e em eventuais ações judiciais.
