Notificação à ANPD

Quando a notificação à ANPD é obrigatória

Nem todo incidente de dados obriga notificação à ANPD. O art. 48 da LGPD estabelece que a comunicação é devida quando o incidente "possa acarretar risco ou dano relevante aos titulares".^[1] O primeiro passo do síndico — ou de quem estiver responsável pela gestão de dados no condomínio — é avaliar a gravidade do incidente antes de acionar o processo de notificação.

Critérios que aumentam a probabilidade de a notificação ser obrigatória:

• Natureza dos dados expostos: dados sensíveis (biometria, saúde, religião), documentos de identificação (CPF, RG, CNH) ou combinações de dados que permitam identificação e localização da pessoa
• Volume de titulares afetados: quanto mais pessoas afetadas, maior o risco coletivo e maior a probabilidade de a notificação ser exigida
• Tipo de incidente: acesso não autorizado, vazamento público, ransomware com extração de dados e destruição de dados sem backup são situações de maior gravidade
• Potencial de dano concreto: risco de fraude financeira, constrangimento, discriminação, perseguição ou violação de intimidade dos titulares afetados

Exemplos concretos no contexto condominial que podem exigir notificação:

• Invasão ao sistema de câmeras ou ao app de gestão com acesso a dados de moradores
• Vazamento de lista de condôminos com CPF, endereço e dados de contato
• Exposição de dados biométricos cadastrados na portaria (digital, reconhecimento facial)
• Perda ou roubo de dispositivo com dados de moradores sem criptografia
• Acesso indevido por ex-funcionário ou ex-prestador à base de dados do condomínio

Incidentes que provavelmente não exigem notificação à ANPD (mas devem ser documentados mesmo assim):

• Envio acidental de circular interna para lista errada de moradores, sem dados sensíveis
• Falha técnica que gerou indisponibilidade temporária do sistema sem exposição de dados
• Acesso a dados por funcionário do próprio condomínio no exercício regular de suas funções

Em caso de dúvida sobre a obrigatoriedade, a orientação mais segura é notificar. A ANPD pode sempre arquivar uma notificação desnecessária; o não cumprimento de uma notificação obrigatória, por outro lado, configura infração à LGPD.^[2]

O prazo: a partir de quando conta

O art. 48 da LGPD determina que a notificação deve ser feita em "prazo razoável" a partir da ciência do incidente.^[1] A ANPD regulamentou esse prazo: a comunicação inicial deve ocorrer em até 3 dias úteis contados a partir do conhecimento do incidente pelo controlador, seguida de um relatório complementar em até 20 dias úteis.^[2]

O ponto de partida do prazo é o momento em que o condomínio — na prática, o síndico ou a administradora — toma conhecimento do incidente. Por isso, documentar imediatamente quando e como o incidente foi descoberto é fundamental. Esse registro pode fazer a diferença entre estar no prazo ou estar em mora perante a ANPD.

O que documentar ao tomar ciência do incidente:

• Data e hora exata em que o síndico (ou responsável designado) ficou ciente
• Como o incidente foi identificado — por quem, por qual meio
• Qual foi a primeira ação tomada após a ciência
• Quais sistemas, arquivos ou dados estavam envolvidos

Uma observação importante: o prazo de 3 dias úteis para a notificação inicial não exige que o condomínio já saiba tudo sobre o incidente. A ANPD aceita notificações preliminares com as informações disponíveis até aquele momento. O que não pode é demorar para comunicar enquanto aguarda uma investigação completa.

O que informar na notificação

O art. 48, § 1º da LGPD lista o conteúdo mínimo que a comunicação de incidente deve conter.^[1] A regulamentação da ANPD detalha ainda mais esses requisitos no formulário de notificação disponível no portal oficial.^[2]

Checklist do que enviar na notificação à ANPD:

• Descrição do incidente: o que aconteceu, como, quando e por quanto tempo o problema persistiu
• Dados afetados: que tipos de dados pessoais foram comprometidos (nome, CPF, biometria, endereço etc.)
• Titulares afetados: número estimado de pessoas afetadas e grupos envolvidos (moradores, funcionários, prestadores)
• Medidas adotadas: o que o condomínio fez imediatamente após descobrir o incidente para conter o dano
• Riscos decorrentes: que consequências concretas o incidente pode gerar para os titulares
• Identificação do controlador: dados do condomínio (CNPJ, endereço, representante legal)
• Contato do DPO ou responsável: nome e dados de contato da pessoa designada para tratar do assunto junto à ANPD

Para a notificação inicial (em até 3 dias úteis), nem todas essas informações precisam estar completas. O formulário da ANPD distingue o que deve constar no comunicado preliminar e o que pode ser complementado no relatório final (em até 20 dias úteis).^[2]

Um detalhe prático: ao descrever o incidente, seja objetivo e técnico — sem minimizar, mas também sem especulações. A ANPD precisa de fatos, não de interpretações. "Houve acesso não autorizado ao servidor que armazena dados de moradores em [data]" é melhor do que "pode ter ocorrido uma possível exposição indesejada de alguma informação".

Como notificar: o portal da ANPD

A comunicação de incidente de segurança é feita exclusivamente pelo portal oficial da ANPD. Não existe e-mail avulso, carta ou ligação que substitua esse processo.^[3]

O processo se dá pelo portal da ANPD em gov.br/anpd/pt-br/assuntos/incidentes-de-seguranca. O acesso ao formulário requer autenticação pelo Gov.br — o síndico ou administrador responsável precisará de conta no Gov.br com nível de verificação suficiente para representar o CNPJ do condomínio.

Passos gerais do processo de notificação pelo portal:

1. Acessar o portal da ANPD pelo endereço indicado acima
2. Autenticar-se pelo Gov.br com conta associada ao CNPJ do condomínio
3. Preencher o formulário de comunicação de incidente com as informações disponíveis
4. Submeter a notificação preliminar dentro do prazo de 3 dias úteis
5. Guardar o número de protocolo gerado — ele será necessário para o envio do relatório complementar
6. Completar o relatório final com as informações que ainda não estavam disponíveis na notificação inicial, em até 20 dias úteis

Como os formulários e fluxos do portal podem ser atualizados pela ANPD sem aviso prévio, sempre acesse diretamente o portal oficial (gov.br/anpd) para obter o fluxo mais atual. Não siga instruções de terceiros que descrevam o formulário passo a passo — essas descrições ficam desatualizadas.^[3]

Condomínios horizontais: um ponto de atenção adicional

Em condomínios horizontais com maior número de pontos de acesso e eventual descentralização da gestão de dados (diferentes portarias, câmeras em áreas externas extensas, acesso por prestadores de jardinagem e manutenção), o mapeamento dos titulares afetados para fins de notificação pode ser mais trabalhoso. Identificar exatamente quais dados foram comprometidos exige rastrear mais sistemas e contratos — o que torna ainda mais importante manter um inventário de dados atualizado antes de qualquer incidente acontecer.

Informar os moradores afetados: a segunda obrigação

Além de notificar a ANPD, o art. 48 da LGPD também exige que o controlador comunique o incidente aos titulares afetados — ou seja, aos próprios moradores, funcionários ou prestadores cujos dados foram comprometidos.^[1] São duas obrigações paralelas e independentes.

A comunicação aos titulares deve:

• Informar o que aconteceu, de forma clara e compreensível — sem jargões técnicos
• Explicar que dados foram afetados e quais riscos concretos podem decorrer para o titular
• Orientar o que o titular pode fazer para se proteger (trocar senhas, monitorar movimentações bancárias, alertar familiares etc.)
• Indicar o contato da pessoa responsável pelo tratamento de dados no condomínio para esclarecimentos

A notificação não é uma confissão de culpa — é um dever de transparência previsto em lei. Comunicar os moradores afetados demonstra respeito pelos titulares e pode reduzir significativamente o impacto prático do incidente, pois permite que as pessoas tomem providências rapidamente.

Em termos práticos, a comunicação aos titulares pode ser feita por e-mail, carta, aviso no app do condomínio ou qualquer meio que garanta que a pessoa recebeu a informação. O ideal é documentar o envio — guardar comprovantes de que a comunicação foi realizada e quando.

Se o número de titulares afetados for muito grande ou se for inviável identificá-los individualmente, a ANPD pode autorizar formas alternativas de comunicação (como aviso público no site do condomínio ou comunicado geral na área comum). Mas essa é uma exceção — o padrão é comunicação individualizada.

O que acontece após a notificação: o que esperar da ANPD

Após receber a notificação, a ANPD pode tomar diferentes caminhos, dependendo da gravidade do incidente:^[3]

• Arquivamento: se o incidente for avaliado como de baixo risco e a resposta do condomínio for considerada adequada, o caso pode ser encerrado sem medidas adicionais
• Pedido de informações complementares: a ANPD pode solicitar mais detalhes sobre o incidente, as medidas adotadas ou as políticas de segurança do condomínio
• Instauração de processo administrativo: em casos de maior gravidade ou quando houver indícios de violação da LGPD, a ANPD pode iniciar uma investigação formal
• Aplicação de sanções: se o processo administrativo concluir que houve infração, a ANPD pode aplicar sanções como advertência, multa (de até 2% do faturamento, limitada a R$ 50 milhões por infração) ou publicização da infração

Notificar a ANPD dentro do prazo e de forma completa é, em si, uma demonstração de boa-fé que pesa favoravelmente na avaliação de eventuais sanções. Por outro lado, não notificar um incidente que exigia notificação — ou fazê-lo fora do prazo — é uma infração adicional à LGPD, independentemente da gravidade do incidente original.