O que muda por porte
Tem prazo em dobro para a comunicação inicial à ANPD: 6 dias úteis em vez de 3, conforme prevê a Resolução CD/ANPD nº 15/2024 para agentes de pequeno porte. A comunicação individual a cada titular afetado pode ser inviável — a norma autoriza comunicação coletiva pelo site e redes sociais nesse caso. O essencial é saber qual caminho é adequado antes do incidente acontecer e ter o texto preparado com antecedência.
O DPO — interno ou terceirizado — lidera a comunicação à ANPD. O RH é responsável por fornecer os dados sobre quais titulares foram afetados e coordenar a comunicação individual com os funcionários, frequentemente antes da confirmação pública. A clareza de papéis no processo evita que comunicações paralelas contradigam umas às outras.
A comunicação à ANPD é parte de um processo de resposta a incidentes já formalizado. O desafio específico do RH é coordenar a comunicação interna com os funcionários afetados de forma que não antecipe nem contradiga a comunicação pública corporativa — especialmente quando as duas audiências recebem informações em momentos diferentes.
Comunicação de incidente de dados é a obrigação legal, prevista no art. 48 da LGPD e regulamentada pela Resolução CD/ANPD nº 15/2024, de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados sempre que um incidente de segurança puder acarretar risco ou dano relevante. São duas obrigações distintas — com destinatários, canais, conteúdos e prazos diferentes — que devem ser tratadas separadamente.
Duas obrigações, dois destinatários
Quando um incidente de dados é confirmado e avaliado como de risco relevante, a empresa tem dois deveres de comunicação independentes:
- Comunicação à ANPD: obrigação regulatória formal, realizada pelo sistema eletrônico da autoridade, com prazo definido e conteúdo mínimo prescrito pela norma.
- Comunicação aos titulares afetados: obrigação ética e legal com as pessoas cujos dados foram comprometidos — funcionários, no caso de dados de RH — com foco em informar o que ocorreu e como elas podem se proteger.
As duas comunicações não são substitutas uma da outra. É possível notificar a ANPD sem ter ainda identificado todos os titulares afetados — e, nesse caso, a comunicação aos titulares ocorre em momento posterior, com a complementação à ANPD em até 20 dias úteis.
O fato gerador das duas obrigações é o mesmo: incidente que possa causar risco ou dano relevante aos titulares. Incidentes sem potencial de dano podem ser apenas registrados internamente, sem comunicação formal obrigatória — mas o registro deve ser mantido por ao menos 5 anos.
Comunicação à ANPD: prazo, canal e conteúdo
Prazo
Agentes de pequeno porte têm prazo de 6 dias úteis após a confirmação do incidente para a comunicação inicial à ANPD.
O prazo geral é de 3 dias úteis a partir da confirmação do incidente. Se informações relevantes ainda não estiverem disponíveis, a comunicação inicial é feita com o que se tem — e complementada em até 20 dias úteis adicionais.
Canal
A comunicação à ANPD é realizada exclusivamente pelo sistema eletrônico CIS — Comunicação de Incidente de Segurança, disponível no Portal do Agente de Tratamento no site da ANPD (gov.br/anpd). Comunicações por e-mail ou telefone não substituem o protocolo no sistema CIS.
Conteúdo mínimo obrigatório
A Resolução CD/ANPD nº 15/2024 define o que deve constar na comunicação inicial. Para dados de RH, os campos obrigatórios traduzem-se em:
- Natureza dos dados afetados: quais categorias de dados pessoais foram comprometidos — dados de identificação, dados de saúde, dados financeiros, dados de desempenho, entre outros;
- Número de titulares envolvidos: quantos funcionários ou ex-funcionários foram ou podem ter sido afetados (estimativa aceitável se o número exato ainda não for conhecido);
- Medidas de contenção adotadas: o que já foi feito para interromper ou limitar o incidente;
- Riscos identificados: quais danos são possíveis para os titulares — discriminação, fraude, exposição indevida;
- Dados de contato do DPO: nome e canal de contato do Encarregado de Proteção de Dados, obrigatório como ponto de referência da ANPD.
Se algum campo não puder ser preenchido no momento da comunicação inicial, o campo deve indicar isso explicitamente — e a complementação posterior, em até 20 dias úteis, trará as informações pendentes.
Comunicação aos titulares: o que dizer e como dizer
A comunicação ao titular afetado tem objetivo diferente da notificação regulatória: é uma comunicação com a pessoa, não com a autoridade. O conteúdo deve ser claro, compreensível e orientado a ajudar o titular a se proteger — não a minimizar a responsabilidade da empresa.
Conteúdo mínimo para a comunicação ao titular
- O que ocorreu: descrição objetiva do incidente, sem jargão técnico — o que aconteceu, quando e como foi descoberto;
- Quais dados foram afetados: quais informações específicas do titular podem ter sido comprometidas;
- Medidas já adotadas: o que a empresa fez para conter o incidente e proteger os dados;
- Como o titular pode se proteger: orientações práticas — trocar senhas, monitorar extratos, acionar serviços de proteção de crédito, dependendo da natureza dos dados expostos;
- Canal de contato da empresa: onde o titular pode fazer perguntas, registrar reclamações ou exercer seus direitos previstos na LGPD.
Canal de comunicação
A comunicação ao titular deve usar o canal mais direto e verificável disponível. Para funcionários afetados, isso geralmente significa e-mail corporativo ou pessoal (quando o corporativo foi comprometido), comunicação presencial para grupos menores, ou carta formal. O canal deve garantir que a mensagem chegou ao destinatário — não apenas que foi enviada.
Comunicação coletiva: quando é permitida e como funciona
A comunicação individual a cada titular afetado é a forma preferencial. No entanto, a Resolução CD/ANPD nº 15/2024 prevê uma alternativa quando a comunicação individual for inviável — tipicamente quando não é possível identificar todos os titulares afetados ou quando o volume impossibilita o contato direto.
Nesse caso, a empresa pode optar por comunicação ostensiva: publicação de aviso no site institucional e nas redes sociais da empresa, de forma visível e mantida por tempo suficiente para que os titulares a visualizem.
A comunicação coletiva é mais provável de ser o caminho viável. Se não há sistema de e-mail corporativo ou registro de contatos dos funcionários, a publicação no site e nas redes sociais da empresa é a alternativa prevista pela norma. O aviso deve descrever o incidente em linguagem acessível e indicar o canal de contato da empresa.
A comunicação individual é o padrão esperado. A comunicação coletiva deve ser justificada perante a ANPD com evidência de que a identificação individual foi tentada e não foi possível. Usar comunicação coletiva por conveniência — e não por impossibilidade real — pode ser considerado descumprimento do dever de comunicação.
Erros que amplificam o dano
Uma comunicação de incidente mal conduzida pode gerar danos adicionais — reputacional, jurídico e de confiança — além dos causados pelo incidente em si. Os erros mais frequentes são:
- Comunicar antes de delimitar o escopo: notificar titulares com informações imprecisas obriga a empresa a retificar a comunicação, o que gera confusão e amplifica a percepção de descontrole. A comunicação deve esperar a confirmação mínima do que foi afetado — sem ultrapassar os prazos legais.
- Usar linguagem que implica certeza sobre dados não confirmados: afirmar que "os seguintes dados foram acessados" quando a investigação ainda não está concluída é um erro que pode gerar obrigações jurídicas adicionais. O texto deve distinguir o que foi confirmado do que ainda está sendo apurado.
- Comunicar para grupos mais amplos do que os afetados: enviar comunicação de incidente a todos os funcionários quando apenas um subgrupo foi afetado gera alarme desnecessário e pode expor a empresa a questionamentos sobre sua gestão da informação.
- Não registrar a comunicação: a empresa deve manter evidência de que a comunicação foi feita — conteúdo, destinatários, data e canal. Esse registro integra o dossiê do incidente, obrigatório por 5 anos.
- Comunicações internas que contradizem a comunicação formal: em grandes empresas, comunicações informais de gestores ou do RH podem antecipar ou contradizer a comunicação oficial. O protocolo deve prever que a comunicação aos afetados é centralizada — gestores não comunicam por conta própria antes da versão oficial.
Retenção de registros
Independentemente de o incidente ter gerado comunicação obrigatória ou não, todos os incidentes devem ser registrados e mantidos por pelo menos 5 anos, conforme a Resolução CD/ANPD nº 15/2024. O dossiê de cada incidente deve conter:
- Descrição do incidente (o quê, quando, como descoberto)
- Avaliação de risco — por que foi ou não considerado de risco relevante
- Medidas de contenção adotadas e quando
- Cópia da comunicação à ANPD (se enviada) e protocolo de recebimento
- Cópia da comunicação aos titulares (se enviada) e evidência de entrega
- Complementações posteriores, se houver
Esse registro é a principal defesa da empresa em caso de autuação pela ANPD ou ação judicial dos titulares. Incidentes sem registro documentado são tratados como incidentes sem resposta.
Sinais de que o protocolo de comunicação precisa de atenção
- A empresa não tem modelo pronto de comunicação para titular e ANPD
- O time de RH não sabe quem é o responsável por redigir a comunicação à ANPD
- Não há clareza sobre quando comunicar individualmente e quando usar comunicação coletiva
- A empresa desconhece o prazo diferenciado para agentes de pequeno porte
- Nenhum incidente foi comunicado formalmente à ANPD, mesmo aqueles com potencial de risco relevante
- O DPO não está identificado nos processos internos como ponto de contato obrigatório para incidentes
Caminhos para estruturar o protocolo
Implementação interna
Faz sentido quando a empresa tem DPO formal e equipe jurídica interna capazes de redigir e revisar as comunicações. O RH fornece os dados sobre os titulares afetados e valida a lista — a redação e o protocolo no sistema CIS ficam com o DPO e o jurídico.
Apoio especializado
Faz sentido quando a empresa não tem DPO formal ou não tem experiência anterior com notificação à ANPD. Uma consultoria de privacidade assume a redação das comunicações e o protocolo no sistema CIS — reduzindo o risco de erros formais que podem gerar sanções.
Tipo de fornecedor: Consultoria de LGPD e Privacidade · DPO as a Service
Sua empresa tem o protocolo de comunicação à ANPD e aos titulares já estruturado?
Perguntas frequentes
Em quanto tempo a empresa deve comunicar um incidente de dados à ANPD?
O prazo geral é de 3 dias úteis a partir da confirmação do incidente, conforme a Resolução CD/ANPD nº 15/2024. Para agentes de pequeno porte, o prazo é de 6 dias úteis. Se informações ainda não estiverem disponíveis na comunicação inicial, o prazo para complementação é de até 20 dias úteis adicionais.
O que deve constar na comunicação de incidente à ANPD?
A comunicação inicial à ANPD deve incluir: natureza dos dados afetados, número de titulares envolvidos, medidas de contenção adotadas, riscos identificados para os titulares e dados de contato do DPO (Encarregado de Proteção de Dados). Campos que ainda não puderem ser preenchidos devem ser declarados como pendentes e complementados em até 20 dias úteis.
Como comunicar um vazamento de dados aos funcionários afetados?
A comunicação ao funcionário afetado deve conter: o que ocorreu, quais dados foram afetados, medidas já adotadas pela empresa, como o titular pode se proteger e o canal de contato da empresa. O canal deve ser direto e verificável — e-mail corporativo ou pessoal, comunicação presencial ou carta. A empresa deve manter evidência de que a mensagem chegou ao destinatário.
Quando a comunicação ao titular pode ser feita de forma coletiva e não individual?
A Resolução CD/ANPD nº 15/2024 prevê comunicação coletiva — publicação ostensiva no site e nas redes sociais da empresa — quando a comunicação individual for inviável, tipicamente por impossibilidade de identificar ou contatar todos os titulares afetados. Para médias e grandes empresas, essa alternativa deve ser justificada perante a ANPD. Usá-la por conveniência, sem tentativa prévia de comunicação individual, pode ser tratado como descumprimento do dever de comunicação.
O que acontece se a empresa não comunicar o incidente dentro do prazo?
O descumprimento do prazo de comunicação à ANPD constitui infração à LGPD, passível de sanções que incluem advertência, publicização da infração e multa de até 2% do faturamento — limitada a R$ 50 milhões por infração. Além das sanções regulatórias, a omissão aumenta a exposição da empresa em ações judiciais movidas pelos titulares afetados.
Qual o prazo de comunicação de incidente para empresas de pequeno porte?
Empresas de pequeno porte têm prazo de 6 dias úteis para a comunicação inicial à ANPD — o dobro do prazo geral de 3 dias úteis. O tratamento diferenciado está previsto na Resolução CD/ANPD nº 15/2024 e reconhece a menor capacidade operacional dessas organizações para responder rapidamente a incidentes. O prazo de complementação de 20 dias úteis é igual para todos os portes.
Referências
- ANPD. Comunicação de Incidente de Segurança (CIS) — Portal do Agente de Tratamento. Disponível em: gov.br/anpd.
- ANPD. ANPD aprova o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024). Disponível em: gov.br/anpd.
- Machado Meyer. ANPD publica regulamento de comunicação de incidente de segurança. Disponível em: machadomeyer.com.br.
- Confidata. Incidente de Segurança ANPD: Prazo de 3 Dias e Como Notificar. Disponível em: confidata.com.br.