O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, é o principal marco regulatório de privacidade e proteção de dados do Brasil. Inspirada no GDPR europeu, a lei entrou em vigor em 2020 e estabelece regras claras sobre como organizações públicas e privadas devem coletar, armazenar, tratar e compartilhar dados pessoais de cidadãos brasileiros.
A fiscalização e aplicação da lei é responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), criada junto com a LGPD.
O que a LGPD define como incidente de segurança?
A lei trata como incidente de segurança qualquer evento adverso que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais. Isso inclui:
- Ataques de invasão (hacking) que resultem em exfiltração de dados.
- Erros de configuração que exponham dados inadvertidamente.
- Vazamentos causados por funcionários (internos mal-intencionados ou negligentes).
- Perda de dispositivos físicos contendo dados pessoais.
- Ransomware que criptografe e potencialmente exfiltre dados.
Atenção: a LGPD se aplica a qualquer empresa que trate dados de pessoas localizadas no Brasil, independentemente de onde a empresa esteja sediada. Startups internacionais com usuários brasileiros também precisam estar em conformidade.
Obrigações em caso de vazamento
Quando um incidente de segurança ocorre, as obrigações da organização afetada são claras:
Comunicação à ANPD
A empresa deve comunicar à ANPD qualquer incidente que possa acarretar risco ou dano relevante aos titulares. O prazo é de 72 horas a partir do conhecimento do incidente — o mesmo padrão do GDPR europeu.
A comunicação deve conter: descrição dos dados afetados, número de titulares impactados, medidas técnicas e de segurança adotadas, riscos e consequências para os titulares, e as medidas para reverter ou mitigar os efeitos.
Comunicação aos titulares
Quando o incidente puder causar risco ou dano relevante, os titulares afetados também devem ser comunicados. A notificação deve ser feita de forma clara, em linguagem acessível, informando a natureza dos dados afetados e as medidas que o titular pode adotar para se proteger.
Documentação interna
Toda organização deve manter um Registro de Atividades de Tratamento de Dados atualizado. Em caso de incidente, o processo de resposta, as investigações e as medidas adotadas devem ser documentados.
Penalidades previstas
A LGPD estabelece um regime sancionatório que pode ser bastante oneroso:
- Advertência com prazo para adoção de medidas corretivas.
- Multa simples de até 2% do faturamento da empresa no último exercício, limitada a R$ 50 milhões por infração.
- Multa diária, observado o mesmo limite de R$ 50 milhões.
- Publicização da infração após devidamente apurada.
- Bloqueio ou eliminação dos dados pessoais tratados de forma irregular.
- Em casos graves, suspensão parcial ou total das atividades de tratamento de dados.
Como o monitoramento de breaches ajuda na conformidade
Parte da conformidade com a LGPD envolve ter visibilidade sobre a exposição dos dados que sua empresa trata — incluindo dados de colaboradores e clientes que podem ter sido comprometidos em breaches de terceiros.
O LeakIntel oferece para empresas:
- Monitoramento contínuo do domínio corporativo em bases de dados comprometidas.
- Alertas quando e-mails de colaboradores aparecem em novos vazamentos.
- Auditoria de credenciais do Active Directory contra bases de breach.
- Relatórios gerenciais que documentam a exposição e servem de insumo para o plano de resposta a incidentes.
Essas informações são essenciais tanto para o plano de resposta a incidentes quanto para demonstrar à ANPD que a organização adota medidas proativas de segurança.
DPO: o Encarregado de Proteção de Dados
A LGPD prevê a figura do DPO (Data Protection Officer), ou Encarregado de Proteção de Dados — um profissional responsável por atuar como canal de comunicação entre a organização, os titulares e a ANPD. Embora a lei não exija formalmente que todas as empresas tenham um DPO dedicado, é uma prática fortemente recomendada, especialmente para organizações que tratam grandes volumes de dados pessoais.
Verifique se seus dados foram expostos
O LeakIntel monitora continuamente as principais fontes de vazamento
e alerta voce assim que suas credenciais aparecerem em algum breach.