O que está acontecendo
A ANPD classifica qualquer evento envolvendo tratamento inadequado de dados pessoais como incidente de segurança — independente de ter sido intencional ou de ter causado dano comprovado.
Incidente com sistema de IA inclui: modelo que processou dados para finalidade diferente da autorizada, sistema que acessou dados de titulares além do necessário, Shadow AI com dados de clientes enviados para modelo externo, modelo que vazou dados de treino em seus outputs.
Prazo de notificação à ANPD: 72 horas após a ciência do incidente pela empresa. Notificação fora do prazo é infração autônoma — mesmo que o incidente em si seja de baixa gravidade.
Por que isso é problema do CFO
O CFO é responsável pelo sistema de controles internos, que inclui controles de privacidade. Ausência de processo de incidente de IA é lacuna de controle — não é falha operacional.
Shadow AI — funcionário usando ChatGPT com dados de clientes sem aprovação — é incidente LGPD. Isso acontece hoje na sua empresa. Se não tem processo de detecção e resposta, você não tem controle.
A exposição não é só da multa. É da obrigação de comunicar também os titulares afetados, o que cria risco reputacional adicional.
O que acontece quando isso vai para auditoria
A ANPD pode auditar o processo de gestão de incidentes mesmo sem ter ocorrido um incidente reportado. Ausência de processo é achado.
Incidente não notificado dentro do prazo, quando descoberto posteriormente pela ANPD, resulta em multa adicional pelo atraso e pode agravar a multa pelo incidente original.
Auditores SOX incluem processo de incidente no escopo de controles de privacidade. Ausência de processo específico para IA é lacuna documentada.
Impacto financeiro estimado
Multa por incidente: até 2% do faturamento, limitado a R$ 50 milhões. Multa adicional por notificação fora do prazo: infração autônoma com a mesma escala.
Custo de comunicação aos titulares: depende do volume afetado. Em incidentes de escala, pode incluir central de atendimento temporária, assessoria jurídica e comunicação pública.
Dano reputacional: mais difícil de quantificar, mas impacta diretamente clientes regulados que exigem due diligence de fornecedores de dados.
O que fazer
- Definir o que constitui incidente de IA na sua empresa — lista explícita de eventos que acionam o processo
- Criar processo de notificação interna em até 24h (para ter margem para notificar a ANPD em 72h)
- Incluir Shadow AI no escopo de incidente — não só sistemas corporativos homologados
- Nomear responsável pelo processo de incidente — não apenas o DPO, mas alguém com autoridade operacional
- Treinar time de TI, compliance e operações no processo — o processo só funciona se as pessoas souberem acionar
"Se você não consegue provar que tem processo de incidente, você não tem controle de incidente. E quando o incidente acontece, você não tem 72 horas para criar o processo."