oHub Base RH / Conteúdos / Digital e Analytics / Sistemas de RH (HCM/HRIS) / Como reconhecer um incidente de dados de RH
Neste artigo: Como este tema funciona na sua empresa Quais categorias de incidente existem no contexto de RH 1. Vazamento (exfiltração) 2. Acesso indevido (interno) 3. Exposição acidental 4. Alteração não autorizada 5. Perda de dados O que NÃO é incidente de dados Critérios de gravidade: como avaliar o risco do incidente Quando acionar resposta formal Como documentar o incidente Sinais de que sua empresa precisa estruturar o processo de reconhecimento de incidentes Caminhos para estruturar o processo de identificação de incidentes Sua empresa sabe identificar e documentar incidentes de dados de RH corretamente? Perguntas frequentes O que é um incidente de segurança com dados pessoais de funcionários? Quando um vazamento de dados de RH precisa ser comunicado à ANPD? Qual a diferença entre vazamento, acesso indevido e exposição acidental de dados? O que fazer quando um colaborador acessa dados de outros funcionários sem autorização? Como o RH sabe se houve uma violação de dados pessoais? Dados de funcionários em planilhas compartilhadas por e-mail é incidente de dados? Fontes e referências
oHub Base RH Digital e Analytics Sistemas de RH (HCM/HRIS)

Como reconhecer um incidente de dados de RH

Os sinais e categorias de incidente — vazamento, acesso indevido, exposição acidental — e quando o RH precisa acionar resposta formal de LGPD.
Atualizado em: 20 de maio de 2026
Neste artigo: Como este tema funciona na sua empresa Quais categorias de incidente existem no contexto de RH 1. Vazamento (exfiltração) 2. Acesso indevido (interno) 3. Exposição acidental 4. Alteração não autorizada 5. Perda de dados O que NÃO é incidente de dados Critérios de gravidade: como avaliar o risco do incidente Quando acionar resposta formal Como documentar o incidente Sinais de que sua empresa precisa estruturar o processo de reconhecimento de incidentes Caminhos para estruturar o processo de identificação de incidentes Sua empresa sabe identificar e documentar incidentes de dados de RH corretamente? Perguntas frequentes O que é um incidente de segurança com dados pessoais de funcionários? Quando um vazamento de dados de RH precisa ser comunicado à ANPD? Qual a diferença entre vazamento, acesso indevido e exposição acidental de dados? O que fazer quando um colaborador acessa dados de outros funcionários sem autorização? Como o RH sabe se houve uma violação de dados pessoais? Dados de funcionários em planilhas compartilhadas por e-mail é incidente de dados? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

O RH (muitas vezes o próprio gestor) não tem suporte de TI dedicado e tende a não perceber que eventos como o envio de uma planilha de salários para destinatário errado constituem incidente de dados. A prioridade é identificar o evento, documentá-lo e saber quando escalar — mesmo sem equipe especializada.

Média empresa

O RH já conta com suporte de TI e geralmente tem DPO indicado ou consultoria de privacidade. O desafio é que o time de RH ainda não domina os critérios de triagem — sabe que deve reportar, mas não sabe quando e o quê reportar.

Grande empresa

Possui equipe de segurança da informação, DPO formal e processo de resposta a incidentes. O desafio é garantir que o RH reconheça os incidentes na origem — antes de chegar ao CISO — e acione o fluxo correto sem subnotificar.

Um incidente de segurança com dados pessoais é qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais. No contexto do RH, isso inclui desde o envio acidental de uma planilha de salários ao destinatário errado até o acesso de um ex-funcionário a sistemas de RH após o desligamento. A LGPD (Resolução CD/ANPD nº 15/2024) estabelece a obrigação de comunicar à ANPD e aos titulares os incidentes que puderem acarretar risco ou dano relevante.[1]

Quais categorias de incidente existem no contexto de RH

O RH mantém dados de alta sensibilidade: folha de pagamento, prontuários médicos, dados de saúde de exames admissionais e periódicos, registros de afastamento, informações bancárias para depósito de salário e dados biométricos em sistemas de ponto. Esses dados podem ser objeto de cinco categorias de incidente:

1. Vazamento (exfiltração)

O dado saiu para fora da organização — para destinatário externo não autorizado, para a internet, para concorrente ou para qualquer terceiro que não deveria ter acesso. É a categoria mais grave e mais noticiada.

Exemplos no RH: planilha de salários encaminhada por e-mail para destinatário errado externo; relatório de dados de funcionários publicado por engano em área pública do site; backup de folha compartilhado com fornecedor sem autorização.

2. Acesso indevido (interno)

Alguém dentro da organização acessou dados que não tinha autorização para ver. Pode ser intencional (funcionário curioso sobre salário de colega) ou acidental (permissão configurada de forma incorreta no sistema).

Exemplos no RH: analista de RH que acessa prontuários médicos de toda a empresa quando deveria acessar apenas sua área; gestor que consegue visualizar holerites de funcionários de outras áreas por falha de configuração no sistema.

3. Exposição acidental

O dado ficou visível sem intenção para pessoas não autorizadas, sem necessariamente ter sido encaminhado. A exposição pode ser brevíssima mas já configura incidente se há risco de que alguém tenha visto.

Exemplos no RH: relatório de afastamentos com campo de diagnóstico médico projetado em reunião com participantes de múltiplas áreas; planilha de dados de funcionários esquecida aberta em computador de uso compartilhado; e-mail com dados de colaboradores em cópia para lista de distribuição ampla.

4. Alteração não autorizada

Dados foram modificados sem autorização — por erro, por ataque ou por abuso de acesso privilegiado.

Exemplos no RH: alteração de conta bancária no sistema de folha sem autorização do colaborador; modificação de registro de ponto sem o processo formal de ajuste.

5. Perda de dados

Dados pessoais foram destruídos ou tornaram-se irrecuperáveis sem autorização ou por acidente.

Exemplos no RH: exclusão acidental de arquivos de prontuários médicos sem backup; falha em sistema de folha sem recuperação dos dados do período.

O que NÃO é incidente de dados

Nem todo evento adverso com dados é um incidente que exige comunicação. Dois exemplos que frequentemente geram dúvida:

  • Erro corrigido antes de qualquer exposição: se um e-mail com dados de funcionários foi enviado para o remetente errado mas o destinatário confirmou não ter lido e apagou sem abrir, e o erro foi corrigido antes de qualquer acesso, o incidente pode não ter resultado em exposição real. A avaliação de risco ainda precisa ser feita e documentada
  • Rascunho descartado no lixo eletrônico sem acesso de terceiros: um arquivo de dados que nunca saiu do ambiente controlado e foi descartado sem acesso não autorizado não constitui incidente — mas exige verificação de que o descarte foi realmente seguro

A regra prática: se há dúvida sobre se houve ou não exposição, registrar o evento e acionar o DPO para avaliação. A documentação de eventos que não resultaram em incidente é igualmente importante para demonstrar controle.

Critérios de gravidade: como avaliar o risco do incidente

Nem todos os incidentes exigem comunicação à ANPD e aos titulares — apenas os que puderem acarretar risco ou dano relevante. Três fatores determinam a gravidade:

  1. Natureza dos dados afetados: dados sensíveis têm peso maior. A LGPD classifica como sensíveis os dados de origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico. Dados de saúde de funcionários (exames, laudos, afastamentos médicos) são sensíveis — qualquer incidente envolvendo esses dados tem gravidade automaticamente elevada
  2. Número de titulares afetados: um incidente que afeta 500 funcionários tem potencial de dano muito maior do que um que afeta uma única pessoa
  3. Reversibilidade do dano: se os dados podem ser usados para discriminação, fraude ou dano reputacional ao titular, o dano é de difícil reversão. Dados de folha de pagamento em mãos erradas, por exemplo, criam risco de fraude financeira
Pequena empresa

A triagem inicial é feita pelo próprio RH ou gestor, sem suporte de TI. Critério prático: se houve exposição de dados de saúde, dados financeiros ou dados de mais de 10 funcionários, acionar consultoria de privacidade ou DPO externo para avaliação antes de decidir se comunica ou não. Agentes de pequeno porte têm prazo em dobro para a comunicação inicial — 6 dias úteis — conforme a Resolução CD/ANPD nº 15/2024.[1]

Média empresa

A triagem envolve o RH, o DPO (interno ou terceirizado) e o suporte de TI. O RH faz a identificação inicial e aciona o DPO, que conduz a avaliação de risco. O prazo padrão de 3 dias úteis para comunicação inicial à ANPD exige que esse processo seja ágil.

Grande empresa

A empresa tem sistema de ITSM e processo de resposta a incidentes. O RH registra o evento no sistema de tickets de segurança e aciona o fluxo formal — que passa pelo DPO e pelo CISO antes da decisão de comunicar. O papel do RH é ser o ponto de origem correto, não o árbitro final da gravidade.

Quando acionar resposta formal

O fluxo de escalada começa no RH e segue uma sequência clara:

  1. RH identifica o evento — qualquer membro da equipe de RH que perceba um evento suspeito registra imediatamente, sem esperar confirmação de que foi um incidente
  2. RH aciona o DPO — o DPO (interno ou terceirizado) é o primeiro acionamento obrigatório para qualquer evento que envolva dados pessoais
  3. DPO conduz a avaliação de risco — determina se o evento é um incidente, qual a gravidade e se há obrigação de comunicação à ANPD e aos titulares
  4. TI e jurídico são acionados — para contenção técnica e avaliação das implicações legais
  5. Decisão de comunicação — se o incidente puder acarretar risco relevante, a comunicação à ANPD deve ocorrer em até 3 dias úteis após a confirmação do incidente (ou 6 dias para agentes de pequeno porte)

O artigo Plano de resposta a incidente de dados em RH detalha o playbook completo para as primeiras 72 horas após a confirmação do incidente.

Como documentar o incidente

A documentação é obrigatória e deve ser iniciada no momento em que o evento é identificado — antes mesmo de confirmar se é um incidente. A ANPD exige que todos os incidentes sejam registrados e os registros mantidos por no mínimo 5 anos.[1]

Campos mínimos do registro inicial:

  • Data e hora do evento (quando ocorreu) e da identificação (quando foi percebido)
  • Quem identificou o evento e como
  • Descrição do evento: o que aconteceu, com quais dados, quais sistemas ou canais envolvidos
  • Dados afetados: tipo (dados de saúde, dados financeiros, dados de identificação) e quantidade estimada de titulares
  • Medidas de contenção tomadas imediatamente
  • Quem foi acionado e quando (DPO, TI, jurídico)
  • Status da avaliação de risco: pendente, em andamento ou concluída

Sinais de que sua empresa precisa estruturar o processo de reconhecimento de incidentes

Se você se reconhece em três ou mais situações abaixo, o RH provavelmente está operando com risco de subnotificação de incidentes.

  • O time de RH não tem clareza sobre o que configura um incidente de dados versus um "erro operacional comum"
  • Incidentes anteriores foram tratados informalmente, sem documentação ou comunicação ao DPO
  • Planilhas com dados de funcionários circulam por e-mail sem controle de destinatários
  • Não existe registro formal de incidentes de dados pessoais na empresa
  • Ex-funcionários ainda têm acesso ativo a sistemas de RH após o desligamento
  • O RH não sabe identificar quais dados que mantém são considerados "dados sensíveis" pela LGPD

Caminhos para estruturar o processo de identificação de incidentes

Dois caminhos para construir a capacidade de reconhecimento e triagem de incidentes no RH.

Implementação interna

Viável quando a empresa tem DPO interno e equipe de TI capaz de estruturar a taxonomia de incidentes e treinar o time de RH.

  • Perfil necessário: DPO interno com capacidade de desenvolver treinamento para o time de RH e protocolo de triagem
  • Tempo estimado: 4 a 8 semanas para desenvolver o protocolo e treinar a equipe
  • Faz sentido quando: a empresa já tem DPO ativo e processo de segurança da informação estruturado
  • Risco principal: protocolo desenvolvido internamente pode não refletir as exigências mais recentes da ANPD
Com apoio especializado

Indicado para empresas sem DPO formal ou sem capacidade interna de mapear categorias de risco e desenvolver treinamento.

  • Tipo de fornecedor: Consultoria de LGPD e Privacidade, DPO as a Service
  • Vantagem: expertise atualizada sobre a Resolução CD/ANPD nº 15/2024 e protocolo de triagem validado pelo mercado
  • Faz sentido quando: a empresa não tem DPO formal ou nunca estruturou o processo de resposta a incidentes
  • Resultado típico: protocolo de triagem e treinamento do time de RH em 4 a 6 semanas

Sua empresa sabe identificar e documentar incidentes de dados de RH corretamente?

Se a estruturação do processo de reconhecimento de incidentes é prioridade, o oHub conecta gratuitamente com consultorias especializadas em LGPD e privacidade de dados. Em menos de 3 minutos, sem compromisso.

Encontrar fornecedores de RH no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

O que é um incidente de segurança com dados pessoais de funcionários?

É qualquer evento adverso confirmado que viole a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais de colaboradores. No RH, isso inclui o envio de planilha de salários para destinatário errado, acesso indevido a prontuários médicos, exposição acidental de dados em reunião compartilhada ou acesso de ex-funcionário a sistemas de RH após o desligamento.

Quando um vazamento de dados de RH precisa ser comunicado à ANPD?

Quando o incidente puder acarretar risco ou dano relevante aos titulares. Os fatores que determinam isso são: a natureza dos dados afetados (dados sensíveis como saúde têm peso maior), o número de titulares afetados e a reversibilidade do dano. A comunicação deve ocorrer em até 3 dias úteis após a confirmação do incidente — ou 6 dias úteis para agentes de pequeno porte, conforme a Resolução CD/ANPD nº 15/2024.

Qual a diferença entre vazamento, acesso indevido e exposição acidental de dados?

Vazamento: o dado saiu para fora da organização, para destinatário externo não autorizado. Acesso indevido: alguém interno acessou dados que não tinha autorização para ver. Exposição acidental: o dado ficou visível para pessoas não autorizadas sem intenção — como um relatório projetado em reunião ampla. As três categorias configuram incidente e exigem avaliação de risco.

O que fazer quando um colaborador acessa dados de outros funcionários sem autorização?

Primeiro, revogar o acesso imediatamente. Em seguida, registrar o evento com data, hora, dados acessados e quantidade estimada de titulares afetados. Acionar o DPO para avaliação de risco. Preservar logs sem alterá-los para a investigação. O DPO determina se o incidente exige comunicação à ANPD e aos titulares afetados.

Como o RH sabe se houve uma violação de dados pessoais?

O RH identifica um incidente quando: um dado chegou a destinatário não autorizado (e-mail errado, compartilhamento não intencional), alguém acessou dados fora do seu perfil de permissão, dados ficaram visíveis para pessoas não autorizadas em reunião ou sistema, ou um sistema de RH foi acessado por usuário já desligado. Qualquer evento suspeito deve ser registrado e avaliado — na dúvida, registrar e acionar o DPO.

Dados de funcionários em planilhas compartilhadas por e-mail é incidente de dados?

Depende do destinatário e dos dados. Se uma planilha com dados pessoais de funcionários foi enviada para destinatário externo não autorizado ou para lista de e-mail mais ampla do que deveria, configura incidente. Se foi enviada internamente para as pessoas corretas, não é incidente — mas é uma prática de risco que deve ser substituída por controles mais seguros de compartilhamento de dados.

Fontes e referências

  1. ANPD. Comunicação de incidente de segurança (CIS) — Portal do Agente de Tratamento. Governo Federal.
  2. ANPD. ANPD aprova o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024). Governo Federal.
  3. SERPRO. Incidentes de Segurança com Dados Pessoais: comunicar é preciso, mas nem sempre! SERPRO, 2025.
  4. Grant Thornton Brasil. LGPD: como proceder em casos de vazamento de dados? Grant Thornton Brasil.