Como este tema funciona na sua empresa
Comunicação artesanal: DPO e responsável técnico redigem conjuntamente, revisão jurídica básica via advogado externo, envio manual por email com lista de titulares compilada manualmente. Risco alto de comunicação incompleta ou atrasos. SLA realista: 48 horas para incidentes pequenos (<100 titulares).
Comunicação semi-estruturada: templates pré-preparados para ANPD e titulares, revisão por equipe interna (compliance, jurídico, TI), envio por email com read receipt. Contato centralizado para dúvidas de titulares. Documentação em sistema de gestão de incidentes. SLA: 24-36 horas para incidentes médios (100-10 mil titulares).
Comunicação totalmente estruturada: templates avançados com merge-fields, revisão automática de conformidade de conteúdo, envio massivo via plataforma de notificação com tracking, portal FAQ para titulares, atendimento multi-canal. Escalação automática para mídia. SLA: <24 horas. Análise pós-comunicação de feedback.
Comunicação de incidente é notificação obrigatória à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, descrevendo incidente de segurança que causou ou pode ter causado violação de dados pessoais, em conformidade com Artigo 34 da LGPD.
Por que comunicação adequada de incidente é crítica
Comunicação de incidente é exercício delicado que equilibra exigências legais (quais informações incluir, prazos), segurança (não revelar detalhes que ajudem atacante) e gestão de risco reputacional (transparência sem causar pânico). Para gestores de TI, desafio é preparar comunicação conforme LGPD, tecnicamente correta, clara para titular leigo e rastreável para auditoria.
Comunicação inadequada (incompleta, tardia, enganosa) resulta em: multa da ANPD, perda de confiança de titulares, cobertura adversa de mídia, danos reputacionais. Comunicação adequada demonstra responsabilidade, reduz dano reputacional e oferece defesa em caso de auditoria[1].
Conteúdo obrigatório: o que incluir em cada comunicação
Comunicação à ANPD (Artigo 34) é mais técnica:
- Descrição clara do incidente (o que aconteceu, como foi descoberto)
- Data/hora de ocorrência e data/hora de descoberta
- Categorias de dados afetados e aproximação de número de titulares
- Possíveis consequências para direitos/liberdades dos titulares
- Medidas técnicas/organizacionais implementadas para evitar futuro
- Contato para esclarecimentos (DPO ou responsável de segurança)
- Referência a análise de impacto de privacidade realizada (se aplicável)
Comunicação ao titular (Artigo 34) é mais didática e acessível:
- Descrição clara do incidente em termos leigos (o que aconteceu, sem jargão técnico)
- Dados específicos do titular que foram afetados
- Possíveis consequências práticas (risco de fraude, perda de privacidade)
- Direitos disponíveis ao titular em resposta (acesso, bloqueio, retificação)
- Recomendações de segurança (trocar senha, monitorar conta, ativar 2FA)
- Contato para dúvidas (email dedicado, telefone)
Ton e linguagem: comunicação efetiva ao titular
Comunicação deve ser: informativa (esclarece o que aconteceu), reconhecimento de inconveniente (valida sentimento do titular), oferecimento de solução (ações concretas). Evitar jargão técnico[2]: "exfiltração" ? "acesso não autorizado"; "vulnerabilidade crítica" ? "falha de segurança". Usar linguagem conversacional profissional: "Infelizmente, incidente de segurança afetou seus dados. Aqui está o que você precisa fazer agora..."
Meios de entrega: garantindo recebimento e leitura
Email é padrão, mas tem risco de não chegar (spam) ou não ser lido. Alternativas: SMS (taxa alta de leitura), portal seguro (acesso autenticado), carta registrada (formal, rastreável). Escolha afeta garantia de comunicação. Para dados sensíveis, considerar meio mais seguro (portal autenticado). Para dados comuns, email + SMS pode ser suficiente.
Meios de entrega por situação
Email com read receipt + SMS opcional: Email é padrão, read receipt confirma recebimento. SMS para número de titulares pequeno (<1 mil). Plataforma de notificação oferece tracking automático.
Portal seguro + email: Portal autenticado (login, acesso controlado) para informações sensíveis. Email notifica titular de "novo aviso no portal". Mais seguro que email direto com informações sensíveis.
Plataforma de notificação em massa: Plataforma especializada oferece entrega confiável, tracking, multi-canal (email + SMS + push). Essencial para >10 mil titulares.
Múltiplos canais simultâneos: Email + SMS + site corporativo + mídia. Evita rumores/boatos. Comunicação coordenada entre compliance, jurídico, comunicação corporativa.
Rastreamento e documentação: defesa para auditoria
Documentar: data/hora de decisão para comunicar, justificativa técnica (por que há risco aos direitos/liberdades), pessoas que aprovaram (compliance, jurídico), data/hora de envio, meio utilizado, quantidade de titulares notificados, taxa de entrega/leitura. Essencial para auditoria. Email com read receipt oferece prova de entrega. Plataforma de notificação oferece tracking automático.
Gestão de respostas e dúvidas: suporte contínuo ao titular
Incidente gera perguntas de titulares. Ter processo para responder (FAQ, email dedicado, chatbot) demonstra responsabilidade. Documentar dúvidas frequentes para melhorar comunicação futura e identificar falhas na comunicação inicial (se muitos perguntam a mesma coisa, mensagem original foi pouco clara).
Comunicação à mídia/stakeholders: coordenação estratégica
Se incidente é público (vazamento em fórum, cobertura de mídia), controlador pode precisar comunicar-se com mídia e públicos. Coordenar com comunicação corporativa: manter coerência com comunicação à ANPD e ao titular, evitar conflitos. Não contradizer comunicação oficial (geraria desconfiança).
Sinais de que sua comunicação de incidente precisa melhorar
Se você se reconhece em três ou mais cenários abaixo, é hora de estruturar processo de comunicação.
- Não tem template pré-preparado; cada incidente é redação do zero
- Não há revisão jurídica formal; comunicação é enviada por TI direto
- Não há rastreamento de entrega; você não sabe se titular recebeu
- Não há plano para responder dúvidas de titulares
- Comunicação é muito técnica; titular leigo não entende
- SLA é vago; não há deadline claro para comunicar
- Não há documentação de comunicação; difícil provar que comunicou se auditado
Caminhos para implementar comunicação de incidente estruturada
Estruturação pode ser feita internamente ou com apoio especializado.
Criar templates, processo de revisão, SLA claro. Viável para organização com DPO ou especialista em compliance que pode liderar.
- Tempo estimado: 2-4 semanas para estruturar templates e processo
- Faz sentido quando: organização tem DPO e acesso a revisão jurídica
- Risco principal: templates podem ficar desatualizados; acesso a plataforma de notificação pode ser limitado
Consultores jurídicos especializados em LGPD, plataformas de notificação, consultores de comunicação de crise.
- Tipo de fornecedor: consultoria jurídica, plataformas de notificação em massa, consultores de comunicação de crise
- Vantagem: templates validados legalmente, acesso a plataforma profissional, expertise em comunicação de crise
- Resultado típico: templates preparados, processo documentado, equipe treinada em 4-6 semanas
Precisa de apoio para estruturar comunicação de incidente?
Se comunicação adequada de incidente é desafio, o oHub conecta você gratuitamente a consultores jurídicos especializados em LGPD e plataformas de notificação. Em menos de 3 minutos, descreve a situação e recebe propostas.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como comunicar um incidente à ANPD?
Enviar para contato da ANPD (obtido em site gov.br) com: descrição do incidente, data/hora, dados afetados, número estimado de titulares, medidas de remediação, contato para esclarecimentos. Email ou formulário na plataforma da ANPD. Prazo: sem demora (idealmente <24 horas).
O que devo incluir na comunicação do incidente?
Para ANPD: descrição técnica, data/hora, dados, consequências, medidas implementadas. Para titular: descrição leiga, dados específicos dele, recomendações (trocar senha, monitorar), contato. Não inclua: detalhe técnico de vulnerabilidade explorada (aide atacante), nomes de culpados internos (confidencial).
Qual é a linguagem apropriada para comunicar ao titular?
Linguagem conversacional, evitando jargão técnico. "Acesso não autorizado" vs "exfiltração". "Falha de segurança" vs "vulnerability crítica". Reconheça inconveniente: "Pedimos desculpas pelo incômodo". Ofereça ação: "Aqui está o que você deve fazer: trocar senha, ativar 2FA..."
Posso usar email ou devo usar outro meio?
Email é padrão, mas tem risco de não chegar (spam). Para dados sensíveis, usar portal autenticado. Para dados comuns, email + SMS é bom. Para alto volume (>10 mil), plataforma de notificação profissional. Documentar meio escolhido.
Quanto tempo tenho para comunicar (SLA)?
"Sem demora" não significa instantâneo, mas "prontamente, idealmente 24-48h". Se análise forense é complexa, tempo maior é aceitável, mas comunicar timeline ao titular (p.ex., "análise em andamento, atualizaremos em 5 dias"). Documentar decisão de timing.
Como documentar a comunicação para auditoria?
Registrar: data/hora de decision, justificativa (por que risco aos direitos/liberdades existe), pessoas que aprovaram, data/hora de envio, meio, número de titulares, taxa de entrega. Se email com read receipt, arquivar. Se plataforma, exportar relatório. Documentação é defesa legal.