top of page
Buscar

Advertências da ANPD acendem alerta sobre falhas na comunicação de incidentes de segurança

  • Foto do escritor: Marketing Fora de Série
    Marketing Fora de Série
  • 21 de ago. de 2025
  • 3 min de leitura

Dois novos casos reforçam a urgência da conformidade com a LGPD e da estruturação de planos claros de resposta a incidentes

Nos últimos meses, a Autoridade Nacional de Proteção de Dados (ANPD) intensificou sua atuação fiscalizatória, aplicando advertências a duas instituições públicas por falhas graves na comunicação de incidentes de segurança envolvendo dados pessoais. Os casos do Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE) e da Secretaria de Saúde do Estado de Santa Catarina (SES-SC) mostram que a LGPD está sendo levada a sério, e que a negligência no cumprimento de requisitos legais pode gerar impactos severos à reputação e à integridade jurídica das organizações.

Mas, afinal, o que aconteceu? E por que isso importa (muito) para o seu negócio?


Quando comunicar um incidente não é o suficiente

Nos dois casos analisados pela ANPD, o problema não foi apenas a existência do vazamento de dados, mas a forma como a comunicação do incidente foi conduzida. Ambos os órgãos violaram o artigo 48 da LGPD, que exige que titulares e a Autoridade sejam notificados de maneira clara, tempestiva e eficaz, sempre que houver risco ou dano relevante.

O IAMSPE, por exemplo, deixou de informar individualmente os titulares sobre o vazamento de dados como nome, salário e endereço de servidores e dependentes. Além disso, não apresentou justificativas razoáveis para a omissão, nem detalhou adequadamente a natureza e a extensão dos dados comprometidos. Como resultado, recebeu advertência da ANPD por descumprir não apenas o artigo 48, mas também o artigo 49, este último relacionado à necessidade de sistemas seguros e boas práticas no tratamento de dados pessoais.

O caso da SES-SC seguiu uma linha semelhante: após o vazamento de dados de cerca de 300 mil pessoas, a comunicação foi feita de forma genérica e pouco eficaz, sem envio individualizado aos titulares. A ANPD ainda apontou fragilidades na segurança dos sistemas utilizados pelo órgão. O resultado? Três advertências e medidas corretivas impostas.


O que a ANPD espera das organizações?

Mais do que punir, a atuação da ANPD tem caráter educativo, pelo menos nesse momento inicial da atividade sancionadora. Mas isso não significa que as consequências sejam leves.

A comunicação de um incidente, segundo a LGPD, deve conter:

  • A descrição da natureza dos dados afetados;

  • A quantidade e tipo de titulares envolvidos;

  • As medidas de segurança aplicadas (resguardando segredos comerciais);

  • Os riscos potenciais do incidente;

  • Motivos da demora (se houver);

  • E as ações adotadas para mitigar os danos.

E tudo isso deve ser feito de forma rápida e clara, preferencialmente em até 2 dias úteis após a ciência do fato. Caso as informações ainda estejam incompletas, a comunicação pode ser feita em duas etapas: preliminar e complementar, desde que devidamente justificadas.


Por que esse tema é tão relevante para a Omnisblue e seus clientes

Na era da hiperconectividade, vazamentos de dados não são apenas falhas técnicas, são riscos estratégicos. Como especialistas em proteção de dados, governança da informação e compliance regulatório, acompanhamos de perto os desdobramentos dessas decisões para orientar nossos clientes com responsabilidade e agilidade.

Esses episódios reforçam a importância de:

  • Ter um plano de resposta a incidentes de segurança da informação estruturado;

  • Adotar boas práticas e sistemas robustos de proteção e governança de dados;

  • Estabelecer protocolos de comunicação eficazes com titulares e a ANPD;

  • E manter treinamentos e auditorias regulares para toda a equipe.


Comunicar bem é tão importante quanto proteger

As advertências recentes da ANPD são um sinal claro: não basta apenas comunicar, é preciso comunicar certo. O tom é de alerta, mas também de orientação, e empresas que se antecipam, investem em governança e adotam medidas preventivas estão muito mais preparadas para mitigar danos e evitar sanções.

Se sua organização ainda não possui um plano robusto para lidar com incidentes ou tem dúvidas sobre o que a LGPD exige, a Omnisblue está pronta para ajudar.

Quer entender como fortalecer a sua segurança jurídica e digital?Converse com nosso time e descubra como podemos blindar sua empresa contra riscos e garantir a conformidade com a LGPD.


 
 
 

Comentários

bottom of page