Em 2023, a ANPD (Autoridade Nacional de Proteção de Dados) aplicou sua primeira multa significativa a uma empresa por violação da LGPD. O caso envolveu falhas no tratamento de dados pessoais e, especificamente, a ausência de medidas técnicas adequadas para proteger informações de clientes. O valor da multa foi relevante, mas o impacto reputacional foi ainda maior.
Para organizações que lidam com dados pessoais, e isso inclui praticamente toda empresa com clientes, fornecedores ou funcionários, entender as obrigações da LGPD em caso de incidente de segurança não é questão apenas de conformidade. É gestão de risco.
O que a LGPD diz sobre incidentes de segurança
O artigo 48 da LGPD estabelece a obrigação de comunicar à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O texto é intencionalmente amplo, mas a regulamentação subsequente e as orientações da ANPD deram mais contornos ao que constitui um incidente notificável:
Prazo: A comunicação deve ser feita em prazo razoável, definido pela ANPD como dois dias úteis a partir do conhecimento do incidente. Esse prazo é apertado e frequentemente pego de surpresa organizações que não têm processos de resposta a incidentes bem estabelecidos.
Conteúdo da notificação: A ANPD estabelece que a notificação deve incluir descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas para proteção dos dados, riscos relacionados ao incidente, e medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos do incidente.
Quem deve ser notificado: Tanto a ANPD quanto os próprios titulares dos dados afetados devem ser notificados. A comunicação aos titulares deve ser feita de forma clara e acessível.
Credenciais vazadas como incidente de segurança sob a LGPD
Um ponto que frequentemente gera dúvida: credenciais vazadas configuram um incidente notificável sob a LGPD?
A resposta depende do que essas credenciais dão acesso. Se as credenciais comprometidas permitem acesso a sistemas que processam dados pessoais de clientes, funcionários ou parceiros, então sim, o vazamento pode constituir um incidente com obrigação de notificação, mesmo que não haja evidência confirmada de uso malicioso.
O critério da LGPD é o risco potencial, não o dano confirmado. Credenciais de acesso a um CRM com dados de clientes nas mãos de um adversário representa um risco relevante independentemente de o adversário ter acessado o sistema ainda.
Isso torna o monitoramento proativo de credenciais comprometidas não apenas uma boa prática de segurança, mas um mecanismo de cumprimento de obrigações legais. Quanto mais cedo a organização detecta o vazamento, maior é a janela para:
Avaliar o escopo do risco antes de ter que notificar, garantindo que a notificação contenha informações precisas e completas em vez de declarações de incerteza.
Tomar medidas de contenção que possam reduzir o impacto do incidente e, consequentemente, mitigar a obrigação de notificação ou reduzir sua abrangência.
Documentar as ações tomadas, o que é fundamental tanto para a notificação à ANPD quanto para eventual defesa em processos posteriores.
As multas e penalidades previstas
A LGPD prevê multas de até 2% do faturamento da pessoa jurídica de direito privado no Brasil no último exercício, excluídos os tributos, limitadas a R$ 50 milhões por infração. Mas as penalidades vão além das multas:
Advertência: Com indicação de prazo para adoção de medidas corretivas.
Publicização da infração: A ANPD pode publicizar o fato de que uma empresa cometeu uma infração, o que tem impacto reputacional significativo especialmente para empresas que dependem da confiança dos clientes.
Bloqueio ou eliminação dos dados pessoais: Em casos graves, a ANPD pode determinar o bloqueio ou eliminação dos dados pessoais a que se refere a infração.
Suspensão parcial do funcionamento do banco de dados: Por até seis meses.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além das penalidades da ANPD, empresas podem enfrentar ações civis de titulares afetados, especialmente quando o incidente resulta em dano concreto.
Como construir evidências de due diligence
Em caso de incidente, a ANPD avalia não apenas o fato do vazamento, mas as medidas de segurança que a organização tinha em vigor. Organizações que conseguem demonstrar que adotaram medidas técnicas e organizacionais adequadas para proteção dos dados têm uma posição defensiva significativamente melhor.
Monitoramento contínuo de credenciais comprometidas é um dos elementos que compõem essa due diligence. Uma organização que pode demonstrar que:
Monitorava ativamente se credenciais estavam circulando em ambientes comprometidos, respondeu imediatamente ao detectar uma credencial exposta, tomou medidas técnicas de contenção dentro de horas de detecção, e documentou todo o processo de resposta,
está em posição muito melhor do que uma organização que só soube do vazamento quando um cliente ou jornalista reportou.
O papel do BreachFinder na conformidade com a LGPD
O BreachFinder contribui diretamente para o cumprimento das obrigações da LGPD de três formas:
Detecção antecipada: O monitoramento contínuo de fontes da dark web e de bases comprometidas permite que a organização saiba de um vazamento antes que ele cause dano confirmado, dentro da janela que viabiliza resposta eficaz.
Documentação: Cada alerta gerado pelo BreachFinder é registrado com data, hora, fonte e contexto. Essa documentação é parte do registro de atividades de tratamento e resposta a incidentes que organizações são obrigadas a manter.
Velocidade de resposta: Com alertas em tempo real, a organização pode iniciar o processo de avaliação do incidente imediatamente, respeitando os prazos apertados exigidos pela LGPD para notificação.
Para organizações que precisam demonstrar conformidade com a LGPD em processos de auditoria, relatórios de due diligence ou certificações de segurança, a capacidade de mostrar um histórico de monitoramento contínuo e resposta estruturada a incidentes de credenciais é um diferencial relevante.
Conclusão
A LGPD transformou incidentes de segurança em obrigações legais com prazos e consequências claras. Organizações que não têm processos de detecção e resposta a incidentes bem estabelecidos estão expostas não apenas ao risco do ataque em si, mas ao risco regulatório de não cumprir as obrigações que a lei impõe.
Monitoramento proativo de credenciais comprometidas é, nesse contexto, tanto uma medida de segurança quanto uma ferramenta de gestão de risco legal.
