Incidente de Dados LGPD: O Que Fazer — Guia para Clínicas Odontológicas

O Que É um Incidente de Dados para a LGPD

A Resolução CD/ANPD nº 2/2022 define incidente de segurança como qualquer evento adverso confirmado que resulte em: acesso não autorizado, alteração não autorizada, comunicação indevida, destruição ou perda de dados pessoais.

Isso inclui, entre outros:

• Roubo ou perda de HD externo, notebook ou pen drive com prontuários
• Acesso não autorizado ao sistema por hacker (ransomware, invasão)
• Sequestro de dados (ransomware que criptografa os arquivos da clínica)
• Envio de prontuário ou resultado de exame para o paciente errado por e-mail ou WhatsApp
• Acesso indevido por funcionário que não deveria ter permissão
• Destruição acidental de dados sem backup
• Invasão do perfil de WhatsApp da clínica com acesso ao histórico de conversas com pacientes
• Publicação acidental de dados de pacientes em redes sociais

Incidentes podem ser intencionais (hackers, funcionários desonestos) ou acidentais (erro humano, falha de sistema). Ambos geram obrigações iguais de notificação.

Obrigações Legais: Art. 46 e Art. 48 da LGPD

Art. 46 — Medidas de Segurança

O Art. 46 impõe ao controlador a obrigação preventiva: "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."

Isso significa que a clínica é responsável não apenas por reagir ao incidente, mas por tê-lo prevenido com medidas adequadas. Clínica que sofre incidente por ausência de medidas básicas (sem senha no computador, sem criptografia no HD) pode ser responsabilizada duas vezes: pelo incidente em si e pela ausência de medidas preventivas.

Art. 48 — Comunicação do Incidente

O Art. 48 estabelece a obrigação de comunicação: "O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."

Dois destinatários: (1) a ANPD e (2) os titulares afetados. Os prazos e detalhes são regulados pela Resolução CD/ANPD nº 2/2022.

O Art. 48 §1º define o conteúdo mínimo da comunicação: descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas de segurança adotadas para a proteção dos dados, os riscos relacionados ao incidente, os motivos da demora (se for o caso de comunicação não imediata) e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Resolução CD/ANPD nº 2/2022: Prazos e Requisitos Detalhados

A Resolução CD/ANPD nº 2/2022 regulamentou o Art. 48 e definiu os prazos concretos:

Comunicação Preliminar à ANPD: 3 Dias Úteis

A comunicação preliminar deve ser feita em até 3 dias úteis contados do conhecimento do incidente. Nessa fase, a clínica não precisa ter todos os detalhes — a Resolução reconhece que a investigação ainda pode estar em andamento. O objetivo é alertar a ANPD rapidamente.

Conteúdo mínimo da comunicação preliminar: descrição dos dados afetados, número estimado de titulares, data de ocorrência e data do conhecimento, medidas iniciais de contenção adotadas, dados do controlador e do encarregado.

Comunicação Complementar à ANPD: 20 Dias Úteis

Dentro de 20 dias úteis da comunicação preliminar, a clínica deve enviar comunicação complementar com as informações completas: causa raiz identificada, medidas corretivas adotadas, plano de remediação, avaliação de risco detalhada.

Comunicação aos Titulares Afetados: Prazo Razoável

A Resolução não fixa prazo exato para comunicação aos titulares, mas exige que seja feita em prazo razoável, com linguagem clara e acessível, de forma que permita ao titular adotar medidas protetivas. A boa prática é comunicar os pacientes afetados simultaneamente ou logo após a comunicação à ANPD.

Limiar de Notificação: Risco ou Dano Relevante

Nem todo incidente precisa ser notificado. A Resolução cd/ANPD nº 2/2022 define que a obrigação é acionada quando o incidente "possa acarretar risco ou dano relevante" — avaliado com base em: tipo e natureza dos dados (saúde tem peso alto), número de titulares, facilidade de identificação, possibilidade de dano material, moral, discriminatório ou de segurança física.

Para dados de saúde odontológicos, o limiar é quase sempre atingido: qualquer exposição de prontuário, radiografia ou diagnóstico para terceiros não autorizados configura risco relevante.

Cenários de Incidente em Clínicas Odontológicas

Cenário 1 — HD com Prontuários Roubado

O que aconteceu: HD externo contendo prontuários e radiografias de 2.000 pacientes foi furtado do consultório durante fim de semana.

Classificação: incidente grave com risco relevante. Dados de saúde de centenas de pacientes expostos, sem criptografia, identificáveis.

Obrigações imediatas: (1) registrar boletim de ocorrência; (2) notificar a ANPD em até 3 dias úteis; (3) notificar os 2.000 pacientes sobre a exposição; (4) avaliar se havia backup dos dados.

Mensagem aos pacientes: informar que dados do prontuário podem ter sido expostos, que não há indício de uso indevido até o momento, e recomendar atenção a comunicações suspeitas que mencionem dados de saúde.

Cenário 2 — WhatsApp da Clínica Hackeado

O que aconteceu: o número de WhatsApp da clínica foi sequestrado por golpistas via SIM swap ou clonagem. O invasor teve acesso ao histórico de conversas com pacientes, incluindo fotos de radiografias, laudos e informações pessoais trocados por mensagem.

Classificação: incidente com risco relevante. Dados de saúde expostos a terceiro não autorizado.

Obrigações imediatas: (1) recuperar o acesso ao número ou migrar para novo número; (2) avaliar quais dados foram expostos no histórico de conversas; (3) notificar a ANPD em até 3 dias úteis; (4) notificar pacientes cujas informações de saúde foram compartilhadas pelo WhatsApp.

Lição preventiva: WhatsApp não é canal seguro para dados clínicos. Esse cenário exemplifica por que laudos e radiografias não devem ser enviados por mensageria não criptografada de ponta a ponta com controle de acesso.

Cenário 3 — Sistema de Agendamento Invadido

O que aconteceu: o sistema de agendamento online da clínica foi invadido. O hacker acessou nome, telefone, e-mail e tipo de procedimento agendado de todos os pacientes com consulta nos últimos 2 anos (800 registros).

Classificação: incidente de risco moderado a alto. Dados de saúde (tipo de procedimento odontológico) combinados com dados de contato expostos a terceiro não autorizado.

Obrigações: avaliar se o tipo de procedimento constitui dado de saúde identificador (geralmente sim — "extração do siso" + nome + telefone é dado de saúde); se positivo, notificar ANPD em 3 dias úteis; notificar pacientes afetados.

Cenário 4 — E-mail com Laudo Enviado ao Paciente Errado

O que aconteceu: a secretaria enviou o resultado de uma tomografia CBCT de João Santos para o e-mail de Maria Silva, paciente com nome similar.

Classificação: incidente com risco relevante se o laudo contiver diagnóstico ou informações de saúde identificáveis (geralmente contém).

Obrigações: (1) contactar Maria Silva imediatamente e solicitar que não use nem repasse os dados; (2) anotar resposta dela (idealmente por escrito); (3) notificar João Santos sobre o incidente; (4) avaliar se o limiar de notificação à ANPD é atingido — neste caso, dados de saúde de um único titular expostos a terceiro identificado, com possibilidade de contenção. A ANPD pode considerar o limiar atingido para dados de saúde mesmo com um único titular afetado.

Plano de Resposta a Incidentes em 5 Passos

Passo 1 — Contenção Imediata

Isole o sistema ou dispositivo afetado para impedir expansão do incidente. Se o sistema de prontuário foi invadido, desconecte da internet. Se o HD foi roubado, registre o B.O. Se o e-mail foi enviado para o destinatário errado, contacte imediatamente o destinatário e solicite exclusão. O objetivo é parar o sangramento antes de avaliar os danos.

Passo 2 — Avaliação do Incidente

Determine: (a) quais dados foram afetados; (b) quantos titulares estão envolvidos; (c) qual a natureza dos dados (saúde, contato, financeiro); (d) há risco de uso indevido; (e) o incidente ainda está em curso ou foi contido. Documente tudo — data, hora, quem descobriu, como foi descoberto, qual a extensão aparente.

Passo 3 — Notificação (ANPD e Titulares)

Se o limiar de risco relevante for atingido (especialmente para dados de saúde), prepare a comunicação preliminar à ANPD dentro de 3 dias úteis. Simultânea ou sequencialmente, notifique os pacientes afetados com linguagem clara e sem jargões.

Passo 4 — Investigação da Causa Raiz

Identifique a causa do incidente: vulnerabilidade técnica, erro humano, fornecedor, processo inadequado. Essa análise é necessária para a comunicação complementar à ANPD (20 dias úteis) e para evitar recorrência.

Passo 5 — Remediação e Documentação Final

Implemente as medidas corretivas identificadas na análise de causa raiz. Documente o incidente completo: linha do tempo, dados afetados, medidas adotadas, comunicações enviadas. Esse dossiê é o que a ANPD pedirá num eventual PAS.

Como Notificar a ANPD

A comunicação à ANPD é feita exclusivamente pelo portal gov.br, no serviço "Comunicação de Incidente de Segurança com Dados Pessoais". O acesso exige login gov.br com conta verificada.

Informações necessárias para a comunicação preliminar:

• Dados do controlador: razão social, CNPJ, endereço, dados do responsável legal
• Dados do encarregado (DPO), se houver
• Data e hora do incidente (estimada, se exata desconhecida)
• Data e hora do conhecimento do incidente
• Descrição do incidente: o que aconteceu, como foi descoberto
• Tipos de dados afetados (saúde, contato, financeiro, biométrico, etc.)
• Número estimado de titulares afetados
• Categorias de titulares (pacientes adultos, crianças, etc.)
• Medidas de contenção já adotadas
• Se os titulares já foram notificados

Se as informações completas não estiverem disponíveis em 3 dias úteis, preencha com o que for possível e indique que os dados serão complementados na comunicação subsequente. A ANPD prefere comunicação incompleta no prazo a comunicação completa fora do prazo.

Como Notificar os Pacientes Afetados

A notificação aos titulares deve ser:

• Individual: não adianta publicar aviso genérico no site. A comunicação deve ser direcionada a cada titular afetado.
• Canais adequados: use o canal que o paciente cadastrou (e-mail ou telefone). Para clínicas sem e-mail dos pacientes, ligação ou mensagem por WhatsApp é aceita.
• Linguagem clara: sem jargões técnicos. O paciente precisa entender o que aconteceu com os dados dele.
• Informações essenciais: o que aconteceu, quais dados foram afetados, o que a clínica está fazendo, o que o paciente pode fazer para se proteger, e canal de contato para perguntas.

Exemplo de mensagem para pacientes afetados pelo roubo do HD:

"Prezado(a) [Nome do Paciente], informamos que a Clínica Sorriso sofreu um furto de HD externo no dia [data], que pode ter exposto dados do seu prontuário odontológico. Os dados potencialmente afetados incluem seu nome, CPF, histórico de tratamentos e imagens clínicas. Tomamos as seguintes medidas: [medidas adotadas]. Recomendamos que fique atento(a) a comunicações suspeitas que mencionar dados de saúde. Para dúvidas, entre em contato: [e-mail/telefone]. Lamentamos o ocorrido e reforçamos nosso compromisso com a proteção dos seus dados."

Consequências de Não Notificar a ANPD

A omissão na notificação é tratada pela ANPD como infração autônoma — independente da gravidade do incidente original. Consequências:

• Sanção agravada: o Art. 52 §1º lista a "ausência de cooperação com a autoridade nacional" como agravante na dosimetria. Clínica que sofreu incidente e não notificou leva sanção mais pesada do que a que notificou e cooperou.
• Perda do fator atenuante: a notificação espontânea é expressamente reconhecida como fator atenuante pela ANPD. Omitir elimina esse benefício.
• Processo civil dos titulares: pacientes que sofreram dano pela exposição de dados de saúde têm ação civil com base nos Art. 42-45 da LGPD. A ausência de notificação pode ser interpretada como agravante pelo juiz.
• Dano reputacional: se o incidente vier a público por outro meio (imprensa, redes sociais), a clínica que não notificou a ANPD fica em posição defensiva muito mais vulnerável do que a que agiu proativamente.

Medidas Preventivas para Reduzir o Risco de Incidentes

Técnicas

• Criptografia de HD e dispositivos que armazenam prontuários
• Autenticação em dois fatores nos sistemas de prontuário e e-mail da clínica
• Backup automático diário em nuvem criptografada com teste mensal de restauração
• Atualização regular de sistemas operacionais e antivírus
• Log de acesso por usuário no sistema de prontuário
• Política de senha forte (mínimo 12 caracteres, sem reutilização)

Administrativas

• Treinamento da equipe sobre phishing e engenharia social (principal vetor de invasão)
• Política clara de quais dados podem ser enviados por WhatsApp (resposta: apenas administrativos, nunca dados clínicos)
• Contrato DPA com todos os fornecedores que acessam dados de pacientes
• Procedimento documentado de resposta a incidentes (este artigo é um ponto de partida)
• Revisão periódica de permissões de acesso: ex-funcionários com acesso ativo ao sistema é vulnerabilidade comum

Plano de Resposta Documentado

Mantenha um documento atualizado com: lista de responsáveis pela resposta ao incidente, canais de notificação da ANPD (URL do portal gov.br), modelo de mensagem para pacientes, contatos do consultor jurídico especializado em LGPD. Em momento de crise, ter o procedimento documentado reduz o tempo de resposta e erros.

FAQ — Incidente de Dados LGPD

Qual o prazo para notificar a ANPD após incidente?

3 dias úteis para comunicação preliminar e 20 dias úteis para comunicação complementar, contados do conhecimento do incidente (Resolução CD/ANPD nº 2/2022).

Todo incidente precisa ser notificado?

Não. A obrigação se aplica quando o incidente "possa acarretar risco ou dano relevante". Para dados de saúde odontológicos, o limiar é quase sempre atingido. Documente a avaliação de risco em qualquer caso.

HD com prontuários roubado obriga notificação?

Sim. Roubo de HD com dados de saúde de pacientes configura incidente com risco relevante. Notifique a ANPD em até 3 dias úteis do conhecimento do roubo.

O que a ANPD precisa saber na notificação?

Dados do controlador, tipo e quantidade de dados afetados, número de titulares, data do incidente, data do conhecimento, medidas de contenção adotadas, e se os titulares já foram notificados.

O que acontece se eu não notificar no prazo?

Omissão é infração autônoma. A clínica perde o fator atenuante da cooperação espontânea e pode receber sanção agravada. Além disso, fica mais exposta a ações civis dos pacientes afetados.

Gerencie Conformidade e Esteja Pronto para Incidentes

O Consentimento LGPD documenta automaticamente todas as medidas de segurança adotadas pela clínica — essencial para demonstrar à ANPD que você agiu com diligência antes do incidente. Mapa de dados, registros de consentimento e relatórios de conformidade disponíveis para apresentar na comunicação de incidente.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.