Plano de resposta a incidente de dados em RH

As quatro fases do playbook de resposta

O playbook do RH para resposta a incidentes de dados segue quatro fases sequenciais. Cada fase tem responsabilidades, prazos e entregáveis específicos para a equipe de RH.

Fase 1 — Detecção e confirmação (primeiros 60 minutos)

A detecção é o momento em que alguém do RH percebe que pode ter ocorrido um evento adverso com dados pessoais. Nessa fase, o objetivo é confirmar se é de fato um incidente — não resolvê-lo.

1. Registrar o evento imediatamente: anotar o que foi observado, quando, por quem e em qual sistema ou canal. Não esperar confirmação — registrar primeiro
2. Verificar se o acesso ou envio ocorreu de fato: confirmar com o sistema de logs ou com o destinatário se o dado foi efetivamente acessado ou enviado. Não alterar logs — apenas consultar
3. Acionar o DPO: comunicar ao DPO (interno ou terceirizado) com as informações do registro inicial. O DPO conduz a avaliação de gravidade
4. Não comunicar externamente ainda: nenhuma comunicação a titulares, fornecedores ou imprensa antes da avaliação do DPO. Comunicar prematuramente sem escopo definido é um dos erros que amplificam o dano

Fase 2 — Contenção imediata (nas primeiras 4 horas)

A contenção visa interromper o incidente — impedir que o dano se amplie — sem destruir as evidências necessárias para a investigação.

1. Revogar acessos comprometidos: se um usuário acedeu indevidamente a dados, revogar o acesso ao sistema. Se uma credencial foi comprometida, desativar imediatamente
2. Isolar o canal de origem: se o incidente ocorreu por um e-mail, um compartilhamento ou um sistema específico, isolar esse canal sem apagar as evidências
3. Parar de encaminhar dados comprometidos: se o incidente envolve um arquivo que está circulando, orientar todos os destinatários a não encaminhar e a aguardar instrução
4. Preservar logs e registros: não apagar, não modificar, não mover arquivos de log. Logs são a evidência principal da investigação — apagá-los por engano é um dos erros mais graves
5. Acionar TI: o time de TI assume a contenção técnica (isolamento de sistemas, análise de logs, verificação de acesso) enquanto o RH cuida da contenção no ponto de origem

Fase 3 — Investigação e mapeamento do escopo (nas primeiras 48 horas)

A investigação determina o escopo real do incidente: quais dados foram afetados, quantos titulares, qual foi o vetor de origem e qual o potencial de dano.

1. Mapear os dados afetados: quais tipos de dados (folha, dados de saúde, dados bancários, dados de identificação), de quais períodos, de quais colaboradores ou ex-colaboradores
2. Estimar o número de titulares: quantas pessoas foram afetadas — dado obrigatório para a comunicação à ANPD
3. Identificar o vetor de origem: como o incidente ocorreu — erro humano, configuração incorreta de permissão, credencial compartilhada, ataque externo
4. Avaliar a reversibilidade do dano: o dado pode ser usado para fraude, discriminação ou dano reputacional? Essa avaliação determina a urgência da comunicação aos titulares
5. Coletar evidências sem contaminá-las: fazer cópias dos logs, e-mails e arquivos relevantes. Não alterar os originais. Envolver TI e jurídico para garantir que as evidências estejam protegidas para eventual processo administrativo

Fase 4 — Comunicação e encerramento (até o prazo regulatório)

A fase de comunicação tem dois destinatários distintos e prazos específicos estabelecidos pela Resolução CD/ANPD nº 15/2024.^[1]

Comunicação à ANPD: deve ser feita em até 3 dias úteis após a confirmação do incidente (6 dias úteis para agentes de pequeno porte). O canal é o sistema CIS (Comunicação de Incidente de Segurança) no portal da ANPD. Informações complementares podem ser enviadas em até 20 dias úteis após a comunicação inicial.

Comunicação aos titulares: deve ocorrer no mesmo prazo. O conteúdo mínimo inclui: o que ocorreu, quais dados foram afetados, medidas tomadas, como o titular pode se proteger e o canal de contato da empresa.

O artigo Comunicação ao titular e à ANPD após incidente detalha o conteúdo obrigatório de cada comunicação e os erros que amplificam o dano.

Documentação obrigatória do incidente

A ANPD exige que todos os incidentes — comunicados ou não — sejam documentados e os registros mantidos por no mínimo 5 anos.^[1] O registro completo de um incidente inclui:

• Data e hora do evento e da identificação
• Descrição do incidente: tipo, dados afetados, número de titulares, vetor de origem
• Medidas de contenção tomadas e cronograma de execução
• Resultado da avaliação de risco e decisão sobre comunicação
• Registro das comunicações realizadas (à ANPD e aos titulares) com data e conteúdo
• Lições aprendidas e medidas corretivas implementadas

Erros comuns no processo de resposta

Os erros mais frequentes observados na prática de mercado — e que agravam a situação:

• Apagar logs por engano: na tentativa de "limpar" o incidente, logs são deletados — o que elimina as evidências e agrava a situação perante a ANPD
• Comunicar externamente antes de conter: informar titulares ou stakeholders antes de saber o escopo real leva a retificações posteriores — que geram mais desconfiança do que a comunicação clara de um fato confirmado
• Não escalar ao DPO por achar que "não é grave o suficiente": a avaliação de gravidade é do DPO, não do RH. Subnotificação sistemática é uma falha regulatória
• Misturar funções: o RH não faz investigação técnica — isso é função de TI. O RH não redige a comunicação à ANPD — isso é função do DPO e do jurídico. Cada área tem seu papel no playbook
• Não documentar eventos "menores": incidentes que não atingem o limiar de comunicação à ANPD ainda precisam ser documentados. A ausência de registro é uma falha por si só