Como este tema funciona no porte da sua empresa
Não há equipe de resposta a incidentes. O gestor define previamente o que fazer se algo acontecer — quem acionar, o que registrar, como comunicar — e age de forma imediata quando identifica o problema. O apoio do assessor jurídico e do DPO externo, se houver, é acionado para avaliar se é necessário comunicar à ANPD.
Há mais sistemas e mais exposição. O gestor coordena a resposta inicial junto com TI e aciona o DPO ou assessor jurídico para a avaliação de risco e decisão sobre comunicação. O processo interno de registro e escalada deve estar documentado antes que um incidente ocorra.
Existe plano formal de resposta a incidentes conduzido pela área de TI/Segurança e pelo DPO. O gestor administrativo reporta o incidente ao canal interno correto e segue o protocolo estabelecido, contribuindo com as informações sobre dados sob sua responsabilidade.
Incidente de dados é qualquer evento que resulte em acesso não autorizado, perda, alteração ou destruição de dados pessoais — seja por falha técnica (ataque, invasão de sistema), por erro humano (e-mail enviado para o destinatário errado, planilha compartilhada inadvertidamente) ou por situação física (roubo de notebook, perda de documento). O gestor administrativo é frequentemente a primeira pessoa a identificar um incidente no back-office — e a velocidade e a qualidade da resposta nas primeiras horas determinam a extensão do dano e as obrigações de comunicação que se seguem.
Incidentes de dados mais comuns no back-office
Incidente de dados não é apenas ataque hacker. A maioria dos incidentes que o gestor administrativo precisa saber responder são situações do cotidiano, que ocorrem por distração ou por falta de processo definido.
- E-mail com dados pessoais enviado para destinatário errado: lista de clientes em cópia acidental, planilha de folha de pagamento encaminhada para e-mail errado, dados bancários de fornecedor enviados para o contato errado.
- Arquivo compartilhado por engano: planilha de clientes ou de funcionários compartilhada com permissão pública no Google Drive ou no SharePoint, ou enviada para um grupo de WhatsApp em vez de um destinatário específico.
- Acesso indevido por ex-funcionário: funcionário desligado que manteve acesso ativo por falha no processo de offboarding.
- Roubo ou perda de dispositivo: notebook, tablet ou smartphone com dados de clientes, funcionários ou contratos roubado ou extraviado.
- Credencial comprometida: senha de acesso ao sistema capturada por phishing ou reutilizada em outros serviços comprometidos.
- Documento físico exposto: ficha de funcionário, contrato com dados pessoais ou extrato descartado no lixo comum sem fragmentação.
Os primeiros passos ao identificar um incidente: conter, registrar, acionar
O que o gestor faz nas primeiras horas após identificar um incidente determina se o dano será limitado ou se terá consequências mais amplas. A sequência correta é sempre: conter primeiro, registrar em seguida, acionar o responsável.
- Conter imediatamente: interromper o acesso indevido ou o compartilhamento antes que o problema se expanda. Isso significa: revogar o compartilhamento do arquivo no Drive, trocar a senha da conta comprometida, bloquear o acesso do usuário indevido, bloquear remotamente o dispositivo roubado se houver essa funcionalidade.
- Registrar o que aconteceu: anotar o que foi identificado, quando foi percebido, quais dados foram afetados (ou suspeita-se que foram), quantos titulares podem ter sido impactados e quem tomou conhecimento do evento. Esse registro é o ponto de partida da avaliação e, se necessário, da comunicação à ANPD.
- Acionar o responsável interno: comunicar ao DPO, ao gestor sênior ou ao responsável por privacidade da empresa — conforme o fluxo definido — para que a avaliação de risco seja feita. Não tentar resolver sozinho incidentes que envolvam dados sensíveis ou um número relevante de titulares.
- Não investigar nem comunicar externamente sem orientação: aguardar a avaliação do DPO ou assessor jurídico antes de comunicar clientes, funcionários ou parceiros afetados. Uma comunicação mal dimensionada pode agravar a situação.
Avaliação de risco: nem todo incidente exige comunicação à ANPD
Identificar um incidente não significa necessariamente que a empresa tem obrigação de comunicar à ANPD ou aos titulares afetados. A comunicação é obrigatória quando o incidente pode acarretar risco ou dano relevante aos titulares — e essa avaliação é feita pelo DPO ou assessor jurídico, não pelo gestor administrativo sozinho.
Os fatores que entram na avaliação de risco:
- Tipo de dado afetado: dados sensíveis (saúde, biometria, financeiros) têm potencial de dano maior que dados cadastrais básicos.
- Número de titulares impactados: um e-mail enviado para o destinatário errado com dados de um único fornecedor tem impacto diferente de um arquivo com dados de mil clientes compartilhado publicamente.
- Possibilidade de uso indevido: um arquivo enviado para um destinatário errado interno que o excluiu imediatamente é diferente de um arquivo enviado para um endereço externo desconhecido.
- Reversibilidade do incidente: foi possível revogar o acesso antes que o dado fosse usado? O arquivo foi de fato acessado ou apenas disponibilizado?
A ANPD publica critérios e orientações sobre quando e como comunicar incidentes — verificar as orientações vigentes do órgão. O DPO ou assessor jurídico deve ser acionado para essa avaliação em qualquer incidente com potencial de dano relevante.
O gestor contém, registra e aciona o assessor jurídico ou DPO externo para a avaliação. Se não há DPO contratado, o assessor jurídico faz a avaliação de risco e orienta sobre a necessidade de comunicação. Não tomar a decisão de comunicar ou não comunicar à ANPD sem essa avaliação.
O gestor coordena a contenção com TI e aciona o DPO para a avaliação. O processo de escalada interna deve estar documentado — quem aciona, em qual canal, com qual informação mínima. A decisão de comunicar à ANPD é sempre do DPO com o jurídico.
O plano de resposta a incidentes define quem faz o quê. O gestor reporta ao canal interno estabelecido e contribui com as informações sobre os dados da sua área. O DPO conduz a avaliação e a eventual comunicação à ANPD.
Preparação preventiva: o que definir antes que um incidente ocorra
A melhor resposta a um incidente de dados começa antes que ele aconteça. O gestor que define o processo preventivamente age com mais eficiência e menos erro quando o momento chegar.
Checklist de preparação preventiva para o gestor administrativo:
- Inventário de dados atualizado: saber onde estão os dados pessoais da empresa é o que permite identificar rapidamente o que foi afetado em um incidente e quantos titulares estão envolvidos.
- Lista de contatos de emergência: nome e canal de contato do DPO ou assessor jurídico, do responsável de TI ou suporte técnico, e do gestor sênior que deve ser comunicado imediatamente. Guardada em local acessível — não apenas no computador que pode estar comprometido.
- Processo de escalada definido: quem o gestor aciona quando identifica um incidente, em qual canal e com qual informação mínima. Um fluxo de duas linhas já é melhor do que nenhum processo.
- Processo de offboarding de acessos: garantir que funcionários desligados perdem todos os acessos imediatamente elimina a classe de incidente mais evitável.
- Registro de acessos nos sistemas: perguntar a TI se os sistemas registram logs de acesso — em caso de incidente, o log é o que permite saber o que foi acessado e quando.
- Orientação básica da equipe: a equipe sabe o que fazer ao enviar um e-mail para o destinatário errado ou ao perceber que compartilhou um arquivo indevidamente? Esse conhecimento básico reduz o tempo de identificação e contenção.
Plano de resposta simplificado para empresas sem equipe dedicada
Empresas pequenas não precisam de um plano extenso — precisam de um processo mínimo claro, acessível e praticado. O seguinte modelo cobre o essencial:
- Identificar o incidente: o que aconteceu, quando, quais dados, quantos titulares estimados.
- Conter imediatamente: revogar acesso, trocar senha, bloquear dispositivo, excluir arquivo compartilhado indevidamente.
- Registrar: anotar as informações do passo 1 com hora e quem identificou.
- Acionar: comunicar ao [nome/cargo do responsável interno] por [canal] imediatamente.
- Aguardar orientação: não comunicar externamente sem avaliação do DPO ou assessor jurídico.
- Registrar o atendimento: ao final, documentar o que foi feito, quando e qual foi o desfecho.
Esse processo deve ser impresso e estar disponível fisicamente no espaço do gestor — em um incidente real, o sistema pode estar comprometido.
Sinais de que sua empresa não está preparada para responder a um incidente de dados
Se você se reconhece em três ou mais cenários abaixo, um incidente de dados pegaria a empresa sem processo definido para responder.
- A empresa não tem definido o que fazer nas primeiras horas se descobrir que dados de clientes ou funcionários foram expostos.
- Não há lista de quem acionar internamente — TI, DPO, direção — em caso de incidente de dados.
- O processo de desligamento de funcionários não inclui a revogação imediata de acessos a sistemas com dados pessoais.
- Planilhas e arquivos com dados sensíveis ficam em pastas na nuvem com permissão pública ou compartilhada sem controle.
- A equipe nunca foi orientada sobre o que caracteriza um incidente de dados e o que deve ser reportado ao gestor.
Caminhos para preparar a empresa para responder a incidentes de dados
A preparação preventiva pode ser feita pelo gestor; a avaliação de risco e a eventual comunicação à ANPD precisam de apoio especializado.
Definir o inventário de dados, a lista de contatos de emergência, o processo de escalada e o plano de resposta simplificado com o time atual, garantindo que a equipe conheça o básico.
- Perfil necessário: gestor administrativo para definir e documentar o processo; acesso a assessor jurídico ou DPO para a avaliação de risco em caso de incidente real.
- Tempo estimado: de 1 a 2 semanas para definir e documentar o plano de resposta simplificado.
- Faz sentido quando: preparação preventiva e processos organizacionais (offboarding, controle de acesso, orientação da equipe) podem ser implementados internamente.
- Risco principal: a avaliação de risco e a decisão de comunicar à ANPD exigem apoio especializado — não fazer essa avaliação internamente sem assessor jurídico ou DPO.
Contratar DPO as a Service ou consultoria para estruturar o plano de resposta a incidentes, treinar a equipe e estar disponível para acionar em caso de incidente real.
- Tipo de fornecedor: DPO as a Service, TI/Segurança da Informação, Consultoria em LGPD/Compliance, Consultoria Jurídica.
- Vantagem: plano de resposta estruturado, avaliação de risco qualificada quando o incidente ocorre, e comunicação à ANPD com orientação especializada.
- Faz sentido quando: empresa sem DPO, dados sensíveis em volume, histórico de incidentes ou necessidade de resposta rápida e qualificada.
- Resultado típico: plano de resposta documentado e equipe treinada em 4 a 6 semanas; disponibilidade de resposta em caso de incidente real dentro do SLA contratado.
Precisa de apoio para preparar sua empresa para responder a incidentes de dados?
Se estruturar o plano de resposta a incidentes de dados virou prioridade, o oHub conecta sua empresa, de forma gratuita, a DPO as a Service, consultores em LGPD e especialistas em segurança da informação. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é um incidente de dados pessoais na LGPD?
É qualquer evento que resulte em acesso não autorizado, perda, alteração ou destruição de dados pessoais — seja por ataque técnico, por erro humano (e-mail enviado para o destinatário errado, arquivo compartilhado por engano) ou por situação física (roubo de notebook, perda de documento). O incidente pode ser intencional ou acidental — o que determina as obrigações de resposta é o potencial de dano aos titulares afetados.
Quando a empresa é obrigada a comunicar um incidente à ANPD?
A comunicação à ANPD é obrigatória quando o incidente pode acarretar risco ou dano relevante aos titulares. A ANPD publica critérios e orientações sobre quando e como comunicar — verificar as orientações vigentes do órgão. A avaliação de se um incidente específico exige comunicação é feita pelo DPO ou assessor jurídico — não pelo gestor administrativo sozinho.
O que fazer quando a empresa sofre um vazamento de dados?
A sequência correta é: conter imediatamente (revogar acesso, trocar senha, excluir arquivo compartilhado), registrar o que aconteceu (o quê, quando, quais dados, quantos titulares estimados), acionar o DPO ou assessor jurídico para a avaliação de risco, e aguardar orientação antes de comunicar externamente. Não tentar resolver sem apoio especializado em incidentes com dados sensíveis ou que envolvam muitos titulares.
Como montar um plano de resposta a incidentes de dados?
O plano mínimo inclui: inventário de dados atualizado (para identificar o que foi afetado), lista de contatos de emergência (DPO, TI, gestor sênior, assessor jurídico), processo de escalada (quem acionar, em qual canal, com qual informação), sequência de contenção (revogar acesso, trocar senha, bloquear dispositivo) e modelo de registro do incidente. O plano deve estar documentado em papel acessível — não apenas no sistema que pode estar comprometido.
Quem deve ser comunicado quando ocorre um incidente de dados?
Internamente: o DPO ou responsável pela privacidade, TI (para contenção técnica) e o gestor sênior, conforme o processo de escalada definido. Externamente: a ANPD, quando a avaliação de risco indicar que o incidente pode causar dano relevante aos titulares; e os próprios titulares, quando indicado pelo DPO ou assessor jurídico. A decisão sobre comunicação externa é sempre do DPO ou assessor — nunca tomada pelo gestor administrativo unilateralmente.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Resolução sobre Comunicação de Incidentes de Segurança com Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Segurança e Prevenção. Brasília: ANPD. Disponível em: gov.br/anpd.
- CERT.br — Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Relatório Anual de Incidentes de Segurança. São Paulo: NIC.br.