oHub Base PME / Desafios / Crise / Tive vazamento de dados de clientes

Tive vazamento de dados de clientes

Incidente LGPD — comunicação à ANPD em 72 horas, aos titulares, mitigação, riscos legais e como atravessar o incidente sem agravar.

Resposta rápida

Vazamento de dado pessoal é incidente regulado pela LGPD, e o relógio começou a correr. Primeiro, confirme o que vazou: que tipo de dado, de quantos titulares, em que sistema, há quanto tempo. Em paralelo, contenha a fonte do vazamento — banco de dados exposto, conta comprometida, sistema invadido. Em até 72 horas (prazo de referência), comunique a ANPD se o vazamento envolve risco relevante aos titulares. Comunique os titulares afetados em prazo razoável, com linguagem clara sobre o que vazou, o que pode acontecer com esses dados e o que eles devem fazer (trocar senha, ficar atento a golpes que usem aqueles dados). Documente toda a apuração — vai ser pedido em qualquer fiscalização ou processo. Sem registro, sua defesa é palavra contra ANPD.

Solo / Microempresa até 9 colaboradores

Com até nove pessoas, ninguém tem cargo de DPO — quem responde pela LGPD é você. Sua exposição típica é simples e por isso pega de surpresa: planilha de cliente caída em pasta pública, formulário web sem proteção, e-mail enviado em cópia aberta com lista de cliente, base de cadastro exportada por ex-colaborador. Contrate apoio jurídico especializado em LGPD imediatamente — você tem 72 horas (prazo de referência) para avaliar comunicação à ANPD e empresa solo não improvisa esse roteiro sozinha. Comunique titulares com linguagem direta, sem juridiquês: o que vazou, o que pode acontecer, o que eles devem fazer. Ofereça canal real (seu WhatsApp comercial, e-mail respondido por você). Documente tudo: print, log, conversa. Use o evento para o mínimo: mapear onde dado pessoal está guardado, definir um responsável pela LGPD (pode ser você mesmo formalmente), criar política simples de uso. Empresa solo que não documenta sofre dobrado em fiscalização.

Pequena empresa 10–49 colaboradores

Com 10 a 49 colaboradores, normalmente há um responsável informal por LGPD (contador, advogado terceirizado ou alguém do administrativo), mas raramente DPO formalizado. A exposição típica vem de banco de dados mal segregado, integração com fornecedor que tratou dado de forma frouxa, ou ex-colaborador que levou base. Acione advogado especializado em LGPD e seu prestador de TI no mesmo dia. Avalie se o vazamento envolve dado sensível (saúde, finanças, dado de criança) — o risco regulatório e a obrigação de comunicação mudam de patamar. Prepare comunicado aos titulares e à ANPD com revisão jurídica. Documente cronologia detalhada: quando descobriu, o que fez, quem foi avisado. Use o caso para auditar contratos com operadores (fornecedor que trata dado em seu nome), revisar permissão de acesso e criar registro de operações de tratamento — empresa pequena que não tem esse registro é a que mais paga caro na fiscalização.

Média empresa 50–200 colaboradores

Em empresa de 50 a 200 colaboradores, costuma haver DPO designado (interno ou terceirizado) e área jurídica responsável pela LGPD — o problema agora é coordenação no incidente. Acione DPO, TI, jurídico, RH e comunicação em fluxo único, mantendo log do que cada um decidiu e quando, com uma pessoa centralizando para evitar versão divergente. Avalie se há dado sensível envolvido e o tamanho da base afetada — o risco regulatório (ANPD), reputacional (cliente corporativo, imprensa) e jurídico (ação civil pública, ações individuais) se combina. A governança é mais sofisticada, mas o processo é mais lento — defina prazo firme para cada decisão para não estourar as 72 horas da comunicação à ANPD. Prepare comunicado aos titulares e à ANPD com revisão jurídica e de comunicação. Atualize relatório de impacto, ajuste matriz de privacidade, audite contratos com operadores e reporte à governança ou conselho consultivo.

Sinais e situações que configuram vazamento de dados
  • Base de clientes apareceu em fórum, telegram ou mercado de dados
  • Funcionário ex-empresa exportou cadastro antes de sair
  • Sistema interno foi acessado por terceiro não autorizado
  • Notebook ou pendrive com dados extraviado ou roubado
  • Conta de e-mail corporativa invadida com acesso a anexos com dados
  • Backup mal configurado exposto na internet
  • Cliente reclama que está recebendo golpe usando informações específicas dele
  • Erro de envio: lista de clientes mandada para destinatário errado em massa

Confirmar o que aconteceu antes de comunicar

Comunicação prematura sem fato confirmado vira ruído pior do que silêncio. Antes de acionar ANPD ou clientes, você precisa de respostas a quatro perguntas básicas. Que dados vazaram (CPF, e-mail, telefone, cartão, senha, dado sensível como saúde)? De quantos titulares? Por onde escapou (qual sistema, qual conta, qual processo)? Há quanto tempo está exposto?

Cada uma dessas respostas muda a obrigação. Vazamento de senha exige resposta diferente de vazamento de e-mail. Mil titulares afetados não é igual a cinco. Sistema invadido por terceiro não é igual a ex-funcionário levando base. Sem confirmar, você ou subestima (e ANPD multa por subnotificação) ou superestima (e gera pânico desnecessário em quem não foi afetado).

Resposta nas primeiras 72 horas
  1. Confirmar o escopo do vazamento. Que dados, quantos titulares, por qual canal, desde quando. Documente o que apurou e como apurou. Esse registro será solicitado.
  2. Conter a fonte imediatamente. Revogar acessos comprometidos, fechar a porta de entrada (configuração, sistema, conta), trocar senhas, isolar máquinas envolvidas. Vazamento que continua sangrando é prejuízo crescente e omissão registrada.
  3. Avaliar com advogado o nível de risco aos titulares. Risco relevante (que afete direitos do titular: financeiro, reputacional, físico) aciona obrigação de comunicar ANPD. Risco baixo ainda exige documentação interna, mesmo que não comunicação externa.
  4. Comunicar a ANPD em prazo curto (referência de 72 horas). Pelo canal oficial da Autoridade, com descrição do incidente, dados envolvidos, número de titulares, medidas adotadas e contato do encarregado (DPO) ou responsável.
  5. Comunicar os titulares afetados. Em prazo razoável, com texto claro: o que aconteceu, que dados deles foram afetados, riscos esperados, o que a empresa está fazendo e o que eles devem fazer. Sem juridiquês, sem minimização.
  6. Documentar tudo em dossiê interno. Cronologia da descoberta, medidas tomadas, comunicações enviadas, datas. Esse dossiê é sua defesa em fiscalização e em eventual ação judicial.
Sobre o prazo de 72 horas: a LGPD pede comunicação à ANPD em prazo razoável, e a Autoridade vem adotando 72 horas como referência prática para casos que envolvem risco relevante aos titulares. Prazo curto, mas não impossível — desde que sua empresa tenha clareza mínima de quem responde por incidentes e como comunicar. Empresa sem encarregado de dados (DPO ou responsável equivalente) descobre o nome do interlocutor no pior momento. Isso costuma ser a primeira correção pós-incidente.

Como comunicar os titulares sem agravar

A comunicação ao titular é o teste de transparência. Texto bom tem cinco partes: o que aconteceu, que dado dele foi afetado, qual o risco real, o que a empresa está fazendo, e o que ele precisa fazer concretamente. Linguagem direta, sem juridiquês. Canal apropriado ao tipo de dado vazado — e-mail funciona para a maioria, telefone vale em casos sensíveis, mensagem em massa não vale para vazamento sério.

Evite duas tentações: minimizar ("incidente pontual, sem maiores consequências") e exagerar para parecer transparente ("violação massiva"). A primeira destrói credibilidade quando o titular descobre a real dimensão; a segunda gera pânico injustificado. Descreva com a maior precisão que conseguir: "dados afetados: nome, CPF e e-mail; dados não afetados: senha, cartão, dado bancário".

Comunicação que protege

  • Fato direto sem rodeio
  • Lista exata do que vazou e do que não vazou
  • Riscos esperados explicados (phishing, fraude, golpe direcionado)
  • Ação prática (trocar senha, atenção a tentativas usando dado vazado)
  • Canal real de contato para dúvidas
  • Compromisso de atualização conforme apuração avança

Comunicação que cria processo

  • Linguagem genérica que não diz o que aconteceu
  • Minimização ("dado não sensível", "sob controle")
  • Omissão de tipos de dado vazado
  • Demora superior a uma semana sem justificativa
  • E-mail sem assinatura ou contato real
  • Negação pública seguida de admissão depois

Mitigar dano e prevenir reincidência

Depois da comunicação, três frentes operam em paralelo. Primeira, mitigação para os titulares afetados — se foi senha, forçar troca em massa; se foi dado financeiro, alertar para tentativa de fraude; se foi dado sensível, oferecer canal direto de suporte. Segunda, monitoramento — procurar a base vazada em fóruns conhecidos (a maioria dos vazamentos acaba publicada), acompanhar reclamações e relatos de golpe que mencionam dados vazados. Terceira, correção estrutural do que causou: política de acesso, autenticação em dois fatores, criptografia de banco de dados, controle de exportação, treinamento de equipe sobre LGPD.

Apuração interna e responsabilização

Vazamento por erro humano é diferente de vazamento por má-fé. Funcionário que clicou em link de phishing precisa de treinamento, não de demissão por justa causa. Funcionário que copiou base de clientes para vender é caso de demissão por justa causa, BO e eventual ação cível. Sem apuração interna documentada, você não consegue diferenciar e responde sempre como se fosse o pior cenário. Documente quem fez o quê, quando descobriu, e o que mudou para evitar repetição.

Armadilhas comuns em vazamento de dados

Não notificar ANPD por medo de chamar atenção. A omissão configura agravante quando o vazamento aparece publicamente. Notificar dentro do prazo, com plano de mitigação, é o que reduz sanção — não esconder.

Comunicar tarde demais aos titulares. Cliente que descobre vazamento pela imprensa ou pelo golpe que recebeu, em vez de pela empresa, perde a confiança de forma quase irreversível. Comunicação direta, na hora certa, segura mais cliente do que silêncio mantém.

Subestimar volume e tipo de dado. "Só vazou e-mail" pode esconder que junto vazou senha em texto claro. "Foram poucos titulares" pode virar centenas quando a apuração completa. Investigue antes de declarar.

Não ter encarregado de dados (DPO) nomeado. A LGPD pede figura responsável por comunicação com ANPD e titulares. Empresa que descobre o nome do DPO no dia do incidente perde tempo crítico de resposta.

Tratar como problema só da TI. Vazamento de dado é assunto do dono. Comunicação com ANPD, com clientes, com imprensa eventualmente, é responsabilidade da liderança — não do técnico que descobriu o problema.

Não documentar nada. Sem dossiê (descoberta, medidas, comunicações, datas), sua defesa em fiscalização vira palavra contra ANPD. Documentar é a parte chata e a parte que salva.

Checklist de resposta a vazamento de dados
  • Escopo confirmado: que dados, quantos titulares, por qual canal, desde quando
  • Fonte do vazamento contida: acesso revogado, sistema corrigido, senhas trocadas
  • Advogado/DPO consultado sobre obrigação de comunicar
  • ANPD comunicada em prazo curto (referência 72 horas) se houver risco relevante
  • Titulares afetados comunicados com texto claro e direto
  • Canal de contato aberto para dúvidas dos titulares
  • Apuração interna documentada com cronologia e medidas
  • Monitoramento de aparição da base em fóruns e mercado de dados iniciado
  • Mitigação aos titulares: troca forçada de senha, alerta de fraude, etc.
  • Correção estrutural definida: controle de acesso, autenticação, criptografia
  • Treinamento da equipe sobre LGPD agendado
  • Dossiê do incidente arquivado para fiscalização futura

Sou obrigado a notificar a ANPD em todo vazamento?

Quando o vazamento envolve risco relevante aos titulares — risco financeiro, reputacional, físico ou impacto sobre direitos —, sim, há obrigação de comunicar. Vazamentos sem risco material relevante exigem ao menos registro interno documentado, mesmo que sem notificação à ANPD. Avalie sempre com advogado ou DPO: erro de subnotificar é agravante quando o incidente vier à tona, e quase sempre vem. A referência prática de prazo adotada pela Autoridade gira em torno de 72 horas após a confirmação do incidente.

Como avisar os clientes sem causar pânico?

Texto direto, sem juridiquês e sem minimização. Cinco partes: o que aconteceu, que dado dele foi afetado especificamente, qual o risco real (phishing direcionado, tentativa de fraude, uso indevido), o que a empresa está fazendo, e o que o titular precisa fazer concretamente (trocar senha, ficar atento a contatos que usem os dados vazados). Inclua canal real de contato. Evite tanto a minimização quanto o exagero — descrição precisa do que vazou e do que não vazou é o que segura a confiança.

E se o vazamento foi causado por funcionário?

Depende do motivo. Erro humano (clicou em phishing, configurou backup errado, mandou planilha para destinatário errado) é caso de treinamento e revisão de processo, não de justa causa. Má-fé (exportou base para vender, copiou cadastro antes de sair, vazou intencionalmente) é caso de demissão por justa causa, registro de BO e eventual ação cível para responsabilização. Em ambos os casos, a empresa continua responsável perante a LGPD pelo dano causado aos titulares — não dá para terceirizar a culpa.

A ANPD pode multar minha empresa pelo vazamento?

Pode. As sanções da LGPD vão de advertência a multa significativa sobre o faturamento, conforme gravidade do incidente, tipo de dado, número de titulares e — fator decisivo — postura da empresa. Comunicação tempestiva, plano de mitigação implementado e cooperação com a Autoridade são considerados como atenuantes. Subnotificação, omissão e demora são agravantes. Por isso a recomendação prática é sempre comunicar dentro do prazo com plano em mão, não esconder até descobrirem.

Preciso ter um encarregado de dados na minha empresa?

A LGPD prevê a figura do encarregado (DPO) como canal de comunicação entre titular, empresa e ANPD. Em pequenas empresas que não tratam dados sensíveis em grande volume, a ANPD permite encarregado como atribuição acumulada por sócio, contador ou consultor — não precisa ser cargo dedicado. O ponto crítico é ter o nome definido e divulgado antes do incidente. Empresa que descobre o DPO no dia do vazamento perde horas críticas que deveriam ser de resposta, não de organização interna.

Leituras essenciais

12 artigos para fundamentar a decisão
IA e LGPD: como usar IA sem violar dados pessoais
IA Aplicada ao Negócio
O que é a LGPD na prática para o dono de PME
Segurança e LGPD Prática
O que são dados pessoais e o que sua PME provavelmente trata
Segurança e LGPD Prática
O que fazer em caso de incidente de segurança ou vazamento
Segurança e LGPD Prática
Como prevenir vazamento de dados na PME
Segurança e LGPD Prática
O que é a LGPD e quem precisa cumprir
LGPD para PME
O que são dados pessoais na LGPD: comuns vs sensíveis
LGPD para PME
Prospecção via WhatsApp Business: como fazer sem virar spam
Prospecção B2B
A LGPD vale mesmo para PME pequena?
LGPD para PME
Bases legais na LGPD: as 10 hipóteses para tratar dados
LGPD para PME
Como fazer mapeamento de dados pessoais na PME
LGPD para PME
Como construir uma política de privacidade adequada
LGPD para PME
Aprofundar
Ver todos os artigos sobre Segurança e LGPD Prática (Tecnologia e Dados)