Notificação de Violação de Dados no GDPR: A Regra das 72 Horas Explicada (2026)

Nos termos do Artigo 33 do GDPR, os controladores de dados devem notificar sua autoridade de supervisão em até 72 horas após tomarem conhecimento de uma violação de dados pessoais, desde que a violação seja suscetível de gerar risco para os indivíduos. O prazo começa a correr quando o controlador tem certeza razoável de que ocorreu uma violação, não quando a investigação é concluída.
Quando ocorre uma violação de dados pessoais, o relógio começa a correr imediatamente. Nos termos do GDPR, os controladores de dados têm apenas 72 horas para notificar sua autoridade de supervisão após tomarem conhecimento de uma violação qualificada. Perder esse prazo constitui, por si só, uma violação, que pode gerar multas significativas, e os casos contra Meta, Bank of Ireland e Permanent TSB mostram que as APDs de fato os perseguem.
Os Artigos 33 e 34 do Regulamento (UE) 2016/679 estabelecem o marco de notificação de violações. As Diretrizes 9/2022 do EDPB sobre notificação de violações de dados pessoais (versão 2.0, adotada em abril de 2023) e as Diretrizes 01/2021 do EDPB sobre exemplos de violações que as acompanham fornecem a interpretação oficial utilizada por todas as autoridades de supervisão da UE e do EEE.
Este guia explica o que conta como violação, quando cada dever de notificação é acionado, exatamente o que incluir, o que significa "tomar conhecimento", o papel do operador, a obrigação do registro de violações, erros comuns, fiscalização, e como as regras do GDPR se comparam a outros grandes marcos regulatórios.
Para o contexto regulatório mais amplo, consulte O Que É o GDPR. Para o planejamento de conformidade, consulte o checklist de conformidade com o GDPR. Para as faixas de penalidades, consulte multas e penalidades do GDPR.
Este artigo tem finalidade meramente informativa e não constitui consultoria jurídica. Consulte um advogado ou profissional de proteção de dados qualificado para orientação específica à sua situação.
Resposta Rápida
A regra das 72 horas é uma forma resumida de se referir ao Artigo 33(1) do GDPR. Quando ocorre uma violação de dados pessoais, o controlador deve notificar a autoridade de supervisão competente em até 72 horas após tomar conhecimento dela, a menos que a violação seja improvável de resultar em qualquer risco para os direitos e liberdades dos indivíduos.
Se a notificação não puder ser feita em até 72 horas, ela ainda deve ser apresentada o quanto antes, acompanhada de uma justificativa fundamentada para o atraso.
Um dever separado, previsto no Artigo 34, pode exigir que o controlador também notifique diretamente os indivíduos afetados, mas apenas quando a violação for suscetível de resultar em alto risco, um limiar mais elevado.
O Que Conta como Violação de Dados Pessoais
O Artigo 4(12) do GDPR define uma violação de dados pessoais como "uma violação de segurança que resulte na destruição, perda, alteração, divulgação ou acesso não autorizados ou acidentais a dados pessoais transmitidos, armazenados ou tratados de outra forma".
A Comissão Europeia e o guia do EDPB para PMEs sobre violações de dados organizam esse tema em torno de três tipos de incidente de segurança: a tríade confidencialidade/integridade/disponibilidade.
Violação de Confidencialidade
Divulgação ou acesso não autorizados ou acidentais a dados pessoais. Exemplos:
- Um ciberataque obtém acesso a um banco de dados de clientes
- Um funcionário envia dados pessoais por e-mail ao destinatário errado
- Um laptop roubado ou perdido contém dados pessoais não criptografados
- Os sistemas de um operador são comprometidos, expondo dados compartilhados sob um acordo do Artigo 28
- Um bucket de armazenamento em nuvem é mal configurado e se torna publicamente acessível
Violação de Integridade
Alteração não autorizada ou acidental de dados pessoais. Exemplos:
- Um ciberataque modifica registros médicos
- Um bug de software corrompe dados de folha de pagamento
- Um usuário não autorizado edita dados de conta de cliente sem autorização
Violação de Disponibilidade
Perda acidental ou não autorizada de acesso a dados pessoais, ou sua destruição. Exemplos:
- Um ataque de ransomware criptografa um banco de dados e não há backup disponível
- Uma falha de servidor destrói permanentemente registros sem opção de recuperação
- Um funcionário exclui acidentalmente um conjunto de dados sem backup disponível
Os ataques de ransomware são particularmente relevantes porque podem desencadear simultaneamente os três tipos de violação: dados criptografados constituem uma violação de disponibilidade; se os dados também foram exfiltrados antes da criptografia, trata-se de uma violação de confidencialidade; e a integridade não pode ser garantida se o atacante teve acesso de escrita.
A orientação do ICO sobre violações de dados pessoais enfatiza que uma violação não exige intenção maliciosa. Perda acidental, erro humano e falhas de sistema qualificam-se igualmente, desde que dados pessoais sejam afetados.
Uma observação sobre ransomware e backups: uma violação de disponibilidade decorrente de ransomware pode não exigir notificação se a organização tiver backups verificados e limpos, e conseguir restaurar os dados prontamente, sem efeito duradouro sobre os indivíduos. No entanto, essa avaliação deve ser documentada, e a organização deve ter certeza de que nenhum dado foi exfiltrado. Em caso de dúvida, notifique.

A Regra das 72 Horas: Notificação à Autoridade de Supervisão (Artigo 33)
A Obrigação Central
O Artigo 33(1) exige que o controlador notifique a autoridade de supervisão competente "sem demora indevida e, sempre que possível, no prazo de 72 horas após tomar conhecimento da violação", a menos que a violação "seja improvável de resultar em um risco para os direitos e liberdades das pessoas físicas".
Dois elementos compõem a obrigação:
Primeiro, a velocidade. A notificação deve ocorrer "sem demora indevida" e em até 72 horas, sempre que possível. Trata-se de exigências distintas: o teto de 72 horas não significa que se possa esperar 71 horas se as informações estiverem prontas antes.
Segundo, o limiar. Apenas violações suscetíveis de resultar em algum risco para os indivíduos acionam o dever. Violações genuinamente improváveis de afetar alguém não precisam ser notificadas à autoridade, mas ainda devem ser documentadas internamente.
O Que a Notificação Deve Incluir
O Artigo 33(3) especifica quatro categorias de informações exigidas:
- Natureza da violação: categorias e número aproximado de titulares de dados afetados; categorias e número aproximado de registros de dados pessoais envolvidos; como a violação ocorreu
- Ponto de contato: nome e dados de contato do DPO, ou de outro ponto de contato
- Consequências prováveis: uma descrição das prováveis consequências da violação para os indivíduos afetados
- Medidas adotadas: medidas tomadas ou propostas para tratar a violação, incluindo medidas para mitigar possíveis efeitos adversos
Notificação Faseada
O Artigo 33(4) permite expressamente a notificação faseada. Se o quadro completo não estiver disponível em até 72 horas, deve-se apresentar uma notificação inicial com as informações disponíveis dentro desse prazo. Detalhes complementares devem seguir "sem demora indevida adicional", à medida que a investigação avança.
Esse é o mecanismo que os reguladores esperam que os controladores utilizem em incidentes complexos. Apresentar uma notificação inicial informando que "a investigação está em andamento" é muito melhor do que esperar pelo quadro completo e perder o prazo de 72 horas.
Como Notificar
O EDPB mantém um diretório de portais de notificação de violações para cada autoridade nacional de supervisão. A maioria das APDs aceita notificações por meio de formulários on-line.
Sob o mecanismo de balcão único, os controladores com estabelecimento principal na UE notificam a APD líder (a APD do Estado-membro onde está localizado o estabelecimento principal do controlador). Se a violação afetar principalmente indivíduos em um Estado-membro específico, essas autoridades também podem ser notificadas.
A Exceção de "Sem Risco"
A notificação não é exigida se a violação "for improvável de resultar em um risco para os direitos e liberdades das pessoas físicas". As Diretrizes 9/2022 do EDPB observam que essa é uma exceção restrita. A maioria das violações envolvendo dados pessoais carrega ao menos algum risco. Quando a avaliação for próxima, o EDPB recomenda inclinar-se para a notificação.
Fatores que reduzem o risco e podem apoiar uma decisão de não notificar incluem:
- Os dados estavam totalmente criptografados e a chave de criptografia não foi comprometida
- Os dados já eram publicamente disponíveis e a exposição não causou dano adicional
- A violação foi contida imediatamente, sem confirmação de acesso externo
- As categorias de dados envolvidas não são sensíveis e a violação foi breve
Mesmo quando se decide não notificar a autoridade de supervisão, a violação ainda deve ser registrada no registro de violações.
Quando o Prazo Começa a Correr: "Tomar Conhecimento"
O prazo de 72 horas corre a partir do momento em que o controlador "toma conhecimento" da violação: não a partir do início da violação, não a partir da conclusão da investigação, e não a partir do momento em que o escopo completo é conhecido.
As Diretrizes 9/2022 do EDPB definem o conhecimento como o momento em que "o controlador tem um grau razoável de certeza de que ocorreu um incidente de segurança que comprometeu dados pessoais".
Cenários Práticos
Quando seu sistema de detecção de intrusões, monitoramento de logs ou SIEM alerta sobre uma violação, o conhecimento começa quando uma pessoa responsável analisa e reconhece esse alerta como indicativo de uma provável violação. Simplesmente receber um alerta automatizado sobre o qual ninguém age não constitui necessariamente conhecimento, mas espera-se que as organizações tenham procedimentos de resposta razoáveis, para que os alertas sejam analisados prontamente.
Quando um operador descobre uma violação primeiro e notifica o controlador, este toma conhecimento quando recebe a notificação do operador. O prazo não corre a partir do momento em que o operador descobriu o incidente, mas apenas se o operador notificou prontamente.
Quando um terceiro (um pesquisador de segurança, um cliente, um jornalista) relata de forma crível uma violação, o controlador toma conhecimento quando recebe informações que lhe conferem um grau razoável de certeza de que ocorreu uma violação.
Uma investigação em andamento para determinar o escopo completo de uma violação não suspende o prazo. O controlador deve notificar com base nas informações disponíveis na marca de 72 horas e complementar com informações adicionais à medida que a investigação avança.
Erros Comuns sobre o Conhecimento
Os controladores às vezes tratam o início de uma investigação como o início do prazo. Isso está errado. Um e-mail de phishing que foi aberto, credenciais que foram comprometidas, ou um registro de acesso mostrando atividade incomum podem, todos eles, constituir certeza suficiente de que ocorreu uma violação, mesmo antes de a investigação estar concluída.
As APDs já multaram organizações especificamente por concluírem investigações antes de apresentar notificações de violação, excedendo assim o prazo de 72 horas. A CNIL francesa, em particular, tem citado avaliações de risco inadequadas e atrasos no início da notificação como violações recorrentes.

Notificação aos Titulares de Dados (Artigo 34)
O Limiar de Alto Risco
O Artigo 34(1) exige que os controladores comuniquem uma violação aos titulares de dados afetados "sem demora indevida" quando a violação "for suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas".
O limiar de alto risco é significativamente mais elevado do que o limiar de "risco" para a notificação à autoridade de supervisão. Nem toda violação que deve ser reportada à APD também exige notificação individual.
As diretrizes do EDPB orientam os controladores a avaliar o alto risco ponderando:
- Sensibilidade dos dados: dados de saúde, dados financeiros, dados biométricos, números de identificação e dados de crianças carregam risco elevado
- Volume: um maior número de indivíduos afetados geralmente aumenta o risco
- Facilidade de identificação: dados que podem ser facilmente vinculados a indivíduos específicos representam maior risco
- Consequências prováveis: roubo de identidade, perda financeira, discriminação, dano reputacional e riscos à segurança física, todos apoiam uma conclusão de alto risco
- Características especiais dos indivíduos afetados: grupos vulneráveis (menores, pacientes, pessoas em situação de violência doméstica) enfrentam maior potencial de dano
O Que a Comunicação Deve Incluir
A comunicação aos titulares de dados deve transmitir:
- Uma descrição clara, em linguagem simples, da natureza da violação
- O nome e os dados de contato do DPO, ou de outro ponto de contato
- Uma descrição das prováveis consequências para o indivíduo
- As medidas tomadas ou propostas para tratar a violação e mitigar seus efeitos
A comunicação deve ser direta, enviada a cada indivíduo afetado, a menos que a notificação individual exija esforço desproporcional, caso em que se exige uma comunicação pública ou uma medida alternativa igualmente eficaz.
Três Exceções à Notificação dos Titulares de Dados
O Artigo 34(3) prevê três situações em que a notificação individual não é exigida, mesmo quando existe alto risco:
Primeiro, criptografia ou proteção equivalente. O controlador aplicou medidas técnicas adequadas (como criptografia) que tornam os dados pessoais ininteligíveis para qualquer pessoa não autorizada, e essas medidas foram aplicadas aos dados envolvidos na violação. Para que essa exceção funcione, a criptografia deve ter sido robusta e a chave não deve ter sido comprometida.
Segundo, mitigação posterior. O controlador adotou medidas posteriores que garantem que o alto risco para os indivíduos deixou de ser provável. Por exemplo: as credenciais foram comprometidas, mas o controlador as revogou imediatamente antes de qualquer uso não autorizado, e não há evidência de exfiltração de dados.
Terceiro, esforço desproporcional. Quando identificar e contatar diretamente cada indivíduo afetado exigiria esforço desproporcional, o controlador deve, em vez disso, fazer uma comunicação pública que informe os indivíduos de forma igualmente eficaz, tipicamente um comunicado à imprensa, um aviso no site, ou um anúncio em redes sociais.
O Dever do Operador (Artigo 33(2))
Os operadores de dados têm seu próprio dever de notificação de violações, nos termos do Artigo 33(2). Após tomar conhecimento de uma violação de dados pessoais, o operador deve notificar o controlador "sem demora indevida".
O GDPR não estabelece um limite fixo de horas para a notificação do operador ao controlador. No entanto, as Diretrizes 9/2022 do EDPB recomendam que os operadores busquem notificar os controladores em até 72 horas de sua própria descoberta, uma vez que o prazo de 72 horas do controlador junto à autoridade de supervisão depende, na prática, de receber a notificação do operador em tempo hábil.
O Que Isso Significa para os Contratos
Os acordos de tratamento de dados do Artigo 28 devem especificar:
- Um prazo máximo de notificação entre o operador e o controlador (24 horas é uma prática comum; 72 horas é o máximo prático)
- As informações mínimas que o operador deve incluir na notificação (natureza da violação, categorias de dados afetados, número aproximado de indivíduos, consequências prováveis, medidas iniciais de contenção)
- Uma obrigação de o operador auxiliar o controlador na preparação da notificação à autoridade de supervisão e de qualquer comunicação aos titulares de dados
- A obrigação de o operador cooperar com a investigação da autoridade de supervisão
- Contatos de escalonamento e procedimentos fora do horário comercial
Um operador que não notifique o controlador a tempo, fazendo com que o controlador perca o prazo de 72 horas, pode ele próprio enfrentar escrutínio regulatório. O Compêndio de Casos do Balcão Único do EDPB sobre Segurança do Tratamento e Notificação de Violações de Dados (2024) documenta como as APDs trataram falhas na cadeia de operadores em casos transfronteiriços.
O Registro de Violações (Artigo 33(5))
O Artigo 33(5) exige que os controladores documentem todas as violações de dados pessoais, independentemente de a notificação à autoridade de supervisão ter sido exigida. Esse registro interno de violações deve incluir:
- Os fatos da violação (o que aconteceu, como foi descoberta, quando ocorreu e quando foi detectada)
- Os efeitos da violação sobre os indivíduos afetados
- As medidas corretivas tomadas e propostas
- A avaliação de risco do controlador: a análise da probabilidade e gravidade do risco para os indivíduos
- O raciocínio para notificar, ou não, a autoridade de supervisão
- Quando aplicável, o raciocínio para não notificar os titulares de dados
- Detalhes de quaisquer notificações feitas (data, conteúdo, autoridade destinatária)
O registro de violações deve estar disponível à autoridade de supervisão mediante solicitação. É a principal evidência documental de que o controlador geriu a violação em conformidade com o GDPR. Em investigações e auditorias, a ausência de um registro adequado é, ela própria, tratada como uma violação.
O registro deve ser mantido de forma segura e revisado periodicamente. Organizações que tratam volumes significativos de dados pessoais devem tratar o registro de violações como um documento vivo, e não como um registro isolado.
Erros Comuns
Esperar a investigação terminar antes de notificar. Este é o erro mais frequentemente citado. O prazo começa no momento do conhecimento, não ao final da investigação. A notificação faseada é o mecanismo previsto. Apresente a notificação inicial com as informações disponíveis em até 72 horas, depois complemente.
Tratar a descoberta do operador como seu ponto de partida. Se seu operador descobriu a violação dias antes de notificá-lo, seu prazo de 72 horas não começa na data da descoberta do operador. Mas se a notificação tardia do operador fez com que você perdesse o prazo, tanto você quanto o operador podem enfrentar escrutínio regulatório.
Presumir que uma violação pequena não precisa de documentação. Toda violação, por menor que seja, exige um registro no registro de violações. Apenas o limiar de notificação é diferente. Deixar de registrar incidentes de baixo risco é uma lacuna de conformidade que aparece em auditorias.
Avaliações de risco vagas. As autoridades de supervisão, particularmente a CNIL francesa, já citaram avaliações de risco inadequadas como uma violação autônoma. Afirmar "avaliamos o risco como baixo" sem fundamentação, volumes de dados, categorias afetadas e análise de gravidade é insuficiente. O registro deve demonstrar o trabalho realizado.
Deixar de notificar os titulares de dados quando há alto risco. Quando uma violação envolve dados sensíveis e existe ameaça realista de roubo de identidade, dano financeiro ou discriminação, os controladores às vezes presumem erroneamente que a exceção de criptografia se aplica, ou que o risco foi mitigado. Em caso de dúvida, notifique os indivíduos.
Conteúdo inadequado na notificação à autoridade de supervisão. O Artigo 33(3) especifica o conteúdo exigido. A decisão da DPC contra a Meta, de 251 milhões de euros, em dezembro de 2024, incluiu uma constatação específica de que sua notificação de violação não continha todas as informações exigidas pelo Artigo 33(3), e uma constatação separada, nos termos do Artigo 33(5), por documentação inadequada do registro de violações. Notificações incompletas são tratadas como uma violação separada da notificação tardia.

Exemplos de Fiscalização
Meta: 251 Milhões de Euros (DPC Irlandesa, Dezembro de 2024)
A DPC irlandesa multou a Meta em 251 milhões de euros, em decorrência de uma violação de 2018 na qual atacantes exploraram vulnerabilidades na funcionalidade "Ver Como" do Facebook para roubar tokens de acesso de aproximadamente 29 milhões de contas em todo o mundo (cerca de 3 milhões na UE/EEE). A multa englobou diversas infrações: 8 milhões de euros por violação do Artigo 33(3), porque a notificação da Meta não continha todas as informações exigidas; 3 milhões de euros por documentação inadequada de violação, nos termos do Artigo 33(5); 130 milhões de euros por design de sistema deficiente, nos termos do Artigo 25; e 110 milhões de euros por não tratar apenas os dados necessários por padrão.
A decisão da Meta é relevante porque mostra as APDs aplicando multas autônomas por conteúdo de notificação incompleto, e não apenas por notificação tardia.
Bank of Ireland: 463 Mil Euros (DPC Irlandesa, 14 de Março de 2022)
A DPC irlandesa multou o Bank of Ireland em 463.000 euros, após uma investigação sobre 22 notificações de violação feitas entre novembro de 2018 e junho de 2019. A DPC constatou que 19 desses incidentes qualificavam-se como violações de dados pessoais. Uma única violação afetou aproximadamente 47.000 titulares de dados; a notificação inicial do BOI havia afirmado que apenas uma pessoa foi afetada. A DPC constatou que o BOI havia violado o Artigo 33(1) ao não reportar violações sem demora indevida: em diversos casos, as violações foram detectadas internamente, mas não foram escaladas ao DPO por nove dias ou mais, colocando a notificação bem fora do prazo de 72 horas.
Permanent TSB: 277.500 Euros (DPC Irlandesa, Maio de 2026)
A DPC irlandesa multou o Permanent TSB em 277.500 euros, após uma investigação sobre violações de dados pessoais reportadas a partir de maio de 2022. As violações surgiram quando agentes maliciosos ligaram para a central de atendimento Open24 do banco, se passando por clientes usando informações parciais de clientes, e acessaram e alteraram dados de contas. 27.500 euros da multa referiam-se especificamente à infração do Artigo 33(1): o PTSB não notificou a DPC em até 72 horas após tomar conhecimento das violações. Outros 250.000 euros foram impostos por violações relacionadas aos Artigos 5 e 32.
Booking.com: 475.000 Euros (APD Holandesa, 2021)
A APD holandesa multou a Booking.com em 475.000 euros, depois que a empresa notificou a APD 22 dias após tomar conhecimento de uma violação que expôs dados pessoais (incluindo informações financeiras e dados de passaporte) de mais de 4.000 clientes. O atraso foi citado como uma violação autônoma do Artigo 33(1). O caso continua sendo uma referência importante nas orientações das APDs sobre o que constitui um atraso inaceitável de notificação.
A Notificação de Violações em Contexto: Como Outras Jurisdições se Comparam
A regra das 72 horas do GDPR está entre os prazos de notificação de violação mais rígidos do mundo. Uma comparação de alto nível:
| Jurisdição | Lei | Notificar Autoridade | Notificar Indivíduos | Gatilho |
|---|---|---|---|---|
| UE/EEE | GDPR | 72 horas | Sem demora indevida (alto risco) | Risco para os indivíduos |
| Reino Unido | UK GDPR | 72 horas | Sem demora indevida (alto risco) | Igual ao GDPR da UE |
| EUA (saúde) | HIPAA | 60 dias | 60 dias (mídia se 500+) | Informações de saúde protegidas não seguras |
| EUA (estadual) | Diversas | 72 horas a 30 dias | Sem demora não razoável | Informações pessoais comprometidas |
| Canadá | PIPEDA | Assim que viável | Assim que viável | Risco real de dano significativo |
| Austrália | Esquema NDB | 30 dias | Assim que praticável | Dano grave provável |
Sobreposição com a NIS2. A Diretiva NIS2, que todos os Estados-membros da UE eram obrigados a transpor até outubro de 2024, impõe um aviso prévio separado de 24 horas, seguido de uma notificação completa em 72 horas ao CSIRT nacional ou à autoridade competente, para incidentes cibernéticos significativos em entidades essenciais e importantes. Uma organização sujeita tanto ao GDPR quanto à NIS2 pode precisar notificar duas autoridades separadas sobre o mesmo incidente: a autoridade de supervisão (APD), nos termos do Artigo 33 do GDPR, e a autoridade competente ou CSIRT da NIS2. Os dois regimes têm limiares e conteúdos exigidos diferentes.
Infraestrutura de Resposta a Violações
Organizações que lidam bem com violações normalmente já construíram o seguinte antes de qualquer incidente ocorrer.
Capacidade de detecção. As obrigações de notificação de violações são impossíveis de cumprir sem a capacidade técnica de detectar violações rapidamente. Sistemas de detecção de intrusões, ferramentas SIEM, monitoramento de endpoints e detecção de anomalias devem gerar alertas acionáveis que cheguem à equipe relevante em poucas horas de um incidente.
Uma equipe de resposta designada. Definir funções antes de um incidente: coordenador de incidentes, líder de TI/segurança, contato jurídico ou DPO, líder de comunicações e escalonamento executivo. Todos devem conhecer sua função e estar disponíveis fora do horário comercial.
Um marco de avaliação de risco. Um modelo de pontuação pré-aprovado (cobrindo categorias de dados, número de indivíduos, probabilidade de dano e gravidade) permite que sua equipe conduza as avaliações de limiar dos Artigos 33 e 34 de forma rápida e consistente. A velocidade nessa etapa afeta diretamente se você conseguirá cumprir o prazo de 72 horas.
Modelos de notificação. Elabore formulários de notificação à autoridade de supervisão e cartas aos titulares de dados para os cenários de violação mais comuns (roubo de credenciais, dispositivo perdido, comprometimento de sistema, divulgação acidental) antes de um incidente ocorrer. Modelos pré-aprovados economizam horas críticas durante a resposta.
Procedimentos com operadores. Confirme que seus principais operadores possuem procedimentos documentados de detecção e notificação de violações, que seus contratos especificam o prazo de notificação, e que você possui contatos de escalonamento fora do horário comercial.
Um registro de violações testado. O formato do registro deve estar estabelecido e ser compreendido pelas pessoas responsáveis por preenchê-lo. Registros não testados frequentemente apresentam lacunas que só se tornam visíveis durante uma investigação da autoridade de supervisão.
Exercícios de simulação (tabletop). Realize pelo menos um exercício de simulação por ano. Percorra desde a detecção até a avaliação, notificação e remediação. Identifique onde o processo falha.
Referência de Cronograma de Notificação
| Janela | Ação |
|---|---|
| Hora 0 | Violação detectada ou reportada à equipe responsável |
| Horas 0-4 | Contenção inicial; preservação de evidências; notificação à equipe interna de resposta |
| Horas 4-24 | Identificação dos dados afetados, volumes aproximados e tipo de violação; avaliação inicial de risco |
| Horas 24-48 | Preparação da notificação à autoridade de supervisão com as informações disponíveis |
| Horas 48-72 | Envio da notificação (ou documentação e finalização da decisão de não notificar, com fundamentação completa) |
| Hora 72+ | Complementação da notificação à medida que a investigação avança; avaliação do dever de notificação aos titulares de dados do Artigo 34; implementação da remediação |
Mais Guias sobre o GDPR
- O Que É o GDPR para uma visão geral abrangente do regulamento
- Checklist de Conformidade com o GDPR para um guia passo a passo de conformidade
- Multas e Penalidades do GDPR para dados de fiscalização e a estrutura de penalidades
- Direitos dos Titulares de Dados no GDPR para todos os oito direitos individuais
- Requisitos de Consentimento do GDPR para os padrões de consentimento válido
- GDPR para Pequenas Empresas para orientações específicas para PMEs
- Leis de Privacidade de Dados da UE para a visão geral completa da proteção de dados na UE
Frequently Asked Questions
O que é a regra das 72 horas no GDPR?
Nos termos do Artigo 33(1), os controladores de dados devem notificar sua autoridade de supervisão competente em até 72 horas após tomarem conhecimento de uma violação de dados pessoais suscetível de resultar em risco para os direitos e liberdades dos indivíduos. A notificação deve ser feita sem demora indevida e, sempre que possível, dentro do prazo de 72 horas. Se não for feita em até 72 horas, deve ser acompanhada de uma justificativa fundamentada para o atraso. O prazo começa quando o controlador tem um grau razoável de certeza de que ocorreu uma violação, não quando a investigação é concluída.
Todas as violações de dados precisam ser reportadas à autoridade de supervisão?
Não. Apenas violações suscetíveis de resultar em risco para os direitos e liberdades dos indivíduos devem ser reportadas à autoridade de supervisão. No entanto, todas as violações, inclusive aquelas que não atingem o limiar de notificação, devem ser documentadas no registro interno de violações, nos termos do Artigo 33(5). Quando a avaliação de risco for incerta, o EDPB recomenda inclinar-se para a notificação.
Qual é a diferença entre notificar a autoridade de supervisão e notificar os titulares de dados?
O Artigo 33 exige a notificação à autoridade de supervisão quando uma violação representa risco para os indivíduos (o limiar inferior), em até 72 horas. O Artigo 34 exige a notificação aos titulares de dados quando uma violação for suscetível de resultar em alto risco (o limiar superior), sem demora indevida. Nem toda violação que deve ser reportada à APD também exige notificação individual. A notificação aos titulares de dados não é exigida se os dados estavam criptografados e a chave não foi comprometida, se o risco foi efetivamente mitigado, ou se o contato individual exigiria esforço desproporcional (caso em que é exigida uma comunicação pública).
Quando exatamente o prazo de 72 horas começa a correr?
O prazo começa quando o controlador tem um grau razoável de certeza de que ocorreu um incidente de segurança e que dados pessoais foram afetados. Para violações detectadas por sistemas internos, o conhecimento começa quando uma pessoa responsável reconhece o alerta como indicativo de uma provável violação. Para violações reportadas por um operador, o conhecimento começa quando o controlador recebe a notificação. Para relatos externos, o conhecimento começa quando o controlador recebe informações críveis. O prazo não espera a conclusão da investigação.
O que um operador deve fazer ao descobrir uma violação?
Nos termos do Artigo 33(2), os operadores devem notificar o controlador sem demora indevida após tomarem conhecimento de uma violação. O GDPR não estabelece um limite fixo de horas, mas as Diretrizes 9/2022 do EDPB recomendam que os operadores busquem notificar os controladores em até 72 horas de sua própria descoberta, uma vez que o prazo de 72 horas do controlador junto à autoridade de supervisão depende da notificação tempestiva do operador. Os acordos de tratamento de dados do Artigo 28 devem especificar prazos máximos de notificação (comumente 24 horas) e as informações mínimas que o operador deve fornecer.
A notificação de violação pode ser fornecida em fases?
Sim. O Artigo 33(4) permite expressamente a notificação faseada. Se todas as informações exigidas não estiverem disponíveis em até 72 horas, o controlador deve apresentar uma notificação inicial com as informações disponíveis dentro do prazo de 72 horas, e fornecer informações complementares sem demora indevida adicional. Esse mecanismo existe precisamente porque as investigações de violação levam tempo. Apresentar uma notificação faseada é muito melhor do que esperar pelo quadro completo e perder totalmente o prazo.
Que informações devem constar na notificação à autoridade de supervisão?
O Artigo 33(3) exige: a natureza da violação, incluindo as categorias e o número aproximado de titulares de dados e registros de dados afetados; o nome e os dados de contato do DPO, ou de outro ponto de contato; uma descrição das prováveis consequências da violação; e as medidas tomadas ou propostas para tratar a violação, incluindo medidas para mitigar possíveis efeitos adversos. A decisão da DPC contra a Meta, de dezembro de 2024, mostra que notificações incompletas, sem o conteúdo exigido, são tratadas como uma violação separada do Artigo 33(3).
O que deve constar no registro de violações?
O Artigo 33(5) exige que o registro documente os fatos de cada violação (o que aconteceu, como, quando foi descoberta); os efeitos sobre os indivíduos; as medidas corretivas tomadas; a avaliação de risco, incluindo a fundamentação; e a justificativa para notificar, ou não, a autoridade de supervisão. O registro abrange todas as violações, não apenas as reportadas. Deve estar disponível à autoridade de supervisão mediante solicitação, e é a principal trilha de auditoria para a conformidade em matéria de violações.
Como a regra das 72 horas do GDPR se compara à HIPAA e às leis estaduais dos EUA?
O prazo de 72 horas do GDPR para a notificação à autoridade de supervisão é mais rígido do que a maioria dos marcos regulatórios comparáveis. A HIPAA dá às entidades cobertas 60 dias para notificar o Office for Civil Rights e os indivíduos afetados. As leis estaduais de violação de dados dos EUA variam, mas a maioria exige notificação sem demora não razoável, com algumas estabelecendo prazos específicos entre 72 horas e 30 dias. O esquema de Violações de Dados Notificáveis da Austrália permite 30 dias para notificar o OAIC. A PIPEDA do Canadá exige notificação assim que viável. O Reino Unido segue a mesma regra de 72 horas do GDPR da UE, sob o UK GDPR.
Que multas se aplicam por perder o prazo de 72 horas?
A notificação tardia ou ausente enquadra-se no Artigo 83(4), que estabelece uma multa máxima de 10 milhões de euros ou 2% do faturamento anual mundial total, o que for maior. A notificação tardia é uma violação autônoma: é possível ser multado por perder o prazo mesmo que a violação subjacente não tenha sido, em si, uma infração grave do GDPR. Exemplos notáveis incluem a Booking.com (475.000 euros por notificar com 22 dias de atraso) e o Permanent TSB (27.500 euros especificamente pela notificação tardia, parte de uma multa maior de 277.500 euros em maio de 2026).
Sources and References
- Texto Integral do GDPR: Regulamento (UE) 2016/679(eur-lex.europa.eu).gov
- Diretrizes 9/2022 do EDPB sobre Notificação de Violação de Dados Pessoais v2.0 (Abril de 2023)(edpb.europa.eu).gov
- Diretrizes 01/2021 do EDPB sobre Exemplos de Notificação de Violação de Dados Pessoais(edpb.europa.eu).gov
- Compêndio de Casos do Balcão Único do EDPB: Segurança do Tratamento e Notificação de Violações de Dados (2024)(edpb.europa.eu).gov
- Comissão Europeia: O Que É uma Violação de Dados?(commission.europa.eu).gov
- EDPB: Artigo 33, Notificação de Violação à Autoridade de Supervisão(edpb.europa.eu).gov
- EDPB: Violações de Dados (Guia para PMEs)(edpb.europa.eu).gov
- EDPB: Como Notificar uma Violação de Dados à Sua APD(edpb.europa.eu).gov
- ICO: Violações de Dados Pessoais, Um Guia(ico.org.uk).gov
- EDPS: Diretrizes de Notificação de Violação de Dados Pessoais(edps.europa.eu).gov
- DPC Irlandesa: Multa de 251 Milhões de Euros à Meta (Dezembro de 2024)(dataprotection.ie).gov
- DPC Irlandesa: Multa de 277.500 Euros ao Permanent TSB (Maio de 2026)(dataprotection.ie).gov
- EDPB: Investigação da DPC Irlandesa sobre o Bank of Ireland Group(edpb.europa.eu).gov
- DLA Piper: Violações de Dados Pessoais na Europa Chegam a 443 por Dia (Fevereiro de 2026)(dlapiper.com)
- Diretiva NIS2: Diretiva (UE) 2022/2555(eur-lex.europa.eu).gov
- EDPB: Resumo das Diretrizes 9/2022 e 01/2021 sobre Notificação de Violação de Dados (2025)(edpb.europa.eu).gov