Quando um vazamento vem a público meses depois, o problema deixou de ser técnico e virou de governança. Veja por quê e como o PROTEGON resolve.

O processo silencioso que ninguém vê

Em muitas organizações, o tratamento de um incidente de segurança começa e termina dentro da equipe técnica. Um alerta surge no monitoramento, alguém identifica um acesso indevido, o time isola o servidor, troca credenciais e considera o assunto resolvido. O incidente foi neutralizado, a operação voltou ao normal e a vida segue. O que poucos percebem é que, nesse exato momento, um relógio regulatório começou a correr.

Um caso recente envolvendo uma grande plataforma brasileira ilustra bem esse ponto cego. Um incidente identificado em dezembro de 2025 só veio a público em junho de 2026, quando dados cadastrais de cerca de 1,2 milhão de titulares passaram a circular na internet. Entre a detecção técnica e o conhecimento público, passaram-se meses. E foi justamente esse intervalo, e não a falha técnica em si, que transformou um problema de segurança em uma crise de governança e de reputação.

O processo silencioso é esse: a organização “resolve” o incidente internamente e nunca aciona o fluxo de comunicação previsto em lei. Não há registro formal da avaliação de risco, não há decisão documentada sobre comunicar ou não comunicar, não há prazo monitorado. Quando o vazamento aparece em um fórum criminoso, a empresa descobre, tarde demais, que tinha obrigações que jamais foram cumpridas.

Por que isso é mais grave do que parece

A Resolução CD/ANPD nº 15/2024 aprovou o Regulamento de Comunicação de Incidente de Segurança e fixou um prazo objetivo: o controlador deve comunicar à ANPD e aos titulares, em até três dias úteis, os incidentes que possam acarretar risco ou dano relevante. O prazo é contado do conhecimento, pelo controlador, de que o incidente afetou dados pessoais. Informações complementares podem ser enviadas em até vinte dias úteis, e agentes de pequeno porte têm o prazo contado em dobro.

O detalhe que costuma passar despercebido é a definição do marco inicial. O relógio não começa quando o caso vira notícia; começa quando a organização toma conhecimento de que dados pessoais foram afetados. Ou seja, aquela neutralização técnica feita em silêncio, meses antes, é exatamente o evento que deflagra a obrigação legal. Tratar o incidente apenas como questão de tecnologia, sem acionar privacidade e jurídico, significa deixar de cumprir um dever que já estava em curso.

As consequências do descumprimento não são teóricas. O artigo 52 da LGPD prevê sanções que vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, além de publicização da infração e bloqueio dos dados. A comunicação tardia ou ausente é, isoladamente, uma conduta sancionável, e ainda agrava a percepção da autoridade sobre a postura de accountability do controlador. Quando a ANPD precisa cobrar explicações depois que o caso já estourou na imprensa, a empresa parte de uma posição defensiva, não colaborativa.

Há ainda o efeito cascata. Cada dia de atraso amplia a exposição dos titulares a golpes, fraudes de identidade e engenharia social, e multiplica o risco de ações judiciais individuais e coletivas. O custo reputacional, difícil de reverter, soma-se ao custo regulatório e ao custo operacional de remediar um problema que, com processo adequado, teria sido contido em poucos dias.

Como o módulo Gestão de Incidentes do PROTEGON resolve

O módulo Gestão de Incidentes do PROTEGON foi desenhado para fechar exatamente essa lacuna entre a detecção técnica e o cumprimento da obrigação legal. Ele transforma o tratamento de incidentes, hoje muitas vezes informal e disperso, em um fluxo estruturado, rastreável e com prazos sob controle.

Na prática, o módulo entrega:

• Registro centralizado de cada incidente, com data e hora do conhecimento, que define automaticamente o marco inicial dos três dias úteis previstos na Resolução CD/ANPD nº 15/2024.
• Fluxo guiado de avaliação de risco e de dano relevante aos titulares, com critérios padronizados que sustentam, com documentação, a decisão de comunicar ou não comunicar.
• Alertas e contagem regressiva de prazo, escalonando responsáveis de privacidade, jurídico e segurança antes que a janela legal se esgote.
• Modelos de comunicação à ANPD e aos titulares alinhados ao conteúdo mínimo exigido pelo regulamento, reduzindo retrabalho no momento de maior pressão.
• Trilha de auditoria completa, registrando quem decidiu o quê e quando, evidência essencial para demonstrar accountability em uma eventual fiscalização.
• Integração com a matriz de riscos e com a avaliação de fornecedores, conectando o incidente às suas causas e à cadeia de terceiros envolvida.

O ponto central não é oferecer mais uma ferramenta, mas eliminar a possibilidade de um incidente “morrer” dentro da equipe técnica sem que ninguém acione o dever legal de comunicar.

Do caos para a previsibilidade

Organizações que adotam um fluxo estruturado de gestão de incidentes deixam de depender da memória ou da boa vontade de um analista para cumprir prazos regulatórios. A diferença é nítida: em vez de descobrir a obrigação quando o vazamento já circula publicamente, a empresa passa a tratá-la como rotina controlada, disparada no instante em que o incidente é conhecido.

O efeito mais imediato é a previsibilidade. A contagem dos três dias úteis deixa de ser uma surpresa e vira um cronômetro visível, com responsáveis definidos. A decisão sobre comunicar ou não comunicar passa a ser fundamentada e documentada, e não uma omissão por desconhecimento. Estimativas de mercado indicam que mais da metade dos incidentes que se tornam crises públicas poderiam ter tido impacto reduzido com comunicação tempestiva e transparente.

Quando a ANPD bate à porta, a diferença entre uma empresa preparada e uma empresa exposta está na capacidade de provar o que foi feito. Uma trilha de auditoria que mostra detecção, avaliação de risco, decisão e comunicação dentro do prazo converte um momento de crise em demonstração concreta de conformidade. A reputação, em vez de ruir, se sustenta sobre evidência.

Próximo passo

Pense no último incidente de segurança que sua organização tratou. Existe registro formal da data em que a empresa tomou conhecimento de que dados pessoais foram afetados? Há documentação da avaliação de risco e da decisão de comunicar ou não comunicar à ANPD dentro dos três dias úteis?

Se a resposta depende da lembrança de uma pessoa ou de uma troca de e-mails perdida, a próxima manchete sobre vazamento pode ser sobre a sua organização. Sua empresa consegue provar, hoje, em uma fiscalização, que cada incidente foi avaliado e comunicado no prazo legal? Conheça o módulo Gestão de Incidentes do PROTEGON, que transforma essa exposição silenciosa em rotina controlada e auditável