AtalaiaSec Pedir proposta
← Blog

LGPD e segurança: o que a ANPD espera de você

William ·

A Lei Geral de Proteção de Dados (LGPD) existe desde 2018, mas foi em 2023 que a ANPD começou a multar de verdade. Em 2026, a pergunta não é mais "você tem política de privacidade?" — é "você consegue provar que suas medidas de segurança funcionam?".

O que a LGPD realmente exige

O Artigo 46 da LGPD diz que o controlador deve adotar "medidas de segurança, técnicas e organizacionais" para proteger dados pessoais. Mas não especifica quais.

A ANPD, em suas resoluções e diretrizes técnicas, deixou claro o que considera "razoável":

  • Controle de acesso — quem acessa quais dados, com autenticação forte
  • Registro de acessos — logs auditáveis de quem viu o quê e quando
  • Monitoramento de segurança — detecção de incidentes em tempo real
  • Plano de resposta a incidentes — procedimento formal documentado
  • Backup e recuperação — capacidade de restaurar dados após incidente

O que a ANPD NÃO aceita como desculpa: "era uma empresa pequena", "nosso TI não tinha orçamento", "achávamos que estava seguro".

Segurança técnica vs política de privacidade

Muitas PMEs contrataram um advogado, escreveram uma política de privacidade bonita e acham que estão em conformidade. Não estão.

A LGPD tem dois pilares: governança (políticas, consentimentos, DPO, mapeamento de dados) e segurança técnica (os controles que realmente protegem os dados).

Sem o pilar técnico, a política é um documento morto. Se houver um incidente, a ANPD vai perguntar: "Onde estão os logs de acesso dos últimos 6 meses?", "Como você detectou o incidente?", "Quanto tempo levou entre a detecção e a notificação?".

Se a resposta for "não temos logs" ou "descobrimos quando um cliente avisou", a multa chega.

Os 5 controles que a ANPD quer ver

1. Logs centralizados e auditáveis

Todo acesso a dados pessoais deve ser registrado. Esses logs não podem ficar espalhados em servidores isolados — precisam estar centralizados num SIEM.

2. Detecção de ameaças ativa

Não basta ter logs. Alguém precisa analisar em tempo real. Um SOC monitora os logs 24/7 e alerta quando algo suspeito acontece.

3. Plano de resposta a incidentes documentado

Um documento que diz exatamente o que fazer quando um incidente acontece: quem é notificado, em quanto tempo a ANPD deve ser avisada (72 horas para incidentes relevantes), como isolar e recuperar dados.

4. Evidências de segurança

Relatórios periódicos mostrando que os controles estão funcionando: número de alertas tratados, tempo médio de resposta, testes de penetração, treinamentos realizados.

5. Backup testado

Não apenas ter backup, mas provar que funciona. Restaurar pelo menos uma vez por trimestre e documentar o resultado.

Como gerar evidências automáticas

Aqui está onde um CSOC faz a diferença. Com Wazuh + TheHive:

  • Wazuh gera relatórios automáticos de eventos de segurança e dashboards de compliance para LGPD, ISO 27001, PCI-DSS
  • TheHive mantém o histórico completo de cada incidente: quem detectou, o que foi feito, quanto tempo levou
  • Cortex automatiza análise de arquivos suspeitos e mantém evidências forenses

Quando a ANPD pede provas, você tem relatórios prontos.

O que acontece em uma auditoria

A ANPD pode iniciar uma investigação por queixa de um titular, vazamento na mídia, fiscalização de rotina, ou incidente auto-reportado.

O processo pede documentação. Se você tem um SOC com logs centralizados, responde em dias. Se não tem, passa semanas reconstruindo histórico — e cada buraco é uma multa potencial.

As multas chegam a 2% do faturamento (limitado a R$ 50 milhões) por infração.

Perguntas frequentes

Tenho política de privacidade. Estou protegido? Não. Política de privacidade é governança. A ANPD quer ver segurança técnica — logs, monitoramento, plano de resposta.

Preciso de um DPO? Sim, se você processa dados pessoais. Pode ser terceirizado.

SOC é obrigatório pela LGPD? A LGPD não usa a palavra "SOC", mas exige "medidas de segurança razoáveis". Para dados sensíveis, um SOC torna essas medidas auditáveis.

Quanto custa não estar em conformidade? Multa de até 2% do faturamento, bloqueio de dados, danos à reputação, e processos civis.