Como este tema funciona na sua empresa
Incidente com dados pessoais é qualquer evento que comprometa segurança, confidencialidade ou integridade de dados pessoais. Quando ocorre, há obrigações legais específicas de conformidade LGPD: avaliar risco, comunicar à ANPD se há risco aos direitos do titular, comunicar ao titular se necessário. A linha entre incidente "menor" (sem comunicação) e "grave" (com comunicação) passa por avaliação estruturada de risco.
O que constitui um incidente com dados pessoais?
Acesso não autorizado (hacker invade servidor), perda (pendrive com dados se perde), destruição (ransomware deleta arquivos), alteração (dados são modificados sem permissão), vazamento (dados expostos publicamente). Qualquer um desses é potencial incidente1.
LGPD não exige que dados foram explorados (fato certo), mas que há risco de prejudicar direitos/liberdades do titular (avaliação probabilística). Inclui: perda de privacidade, discriminação, fraude, usurpação de identidade. Avaliação qualitativa e contextual.
Critérios de comunicação obrigatória
Quando: há risco aos direitos/liberdades. Prazo: "sem demora", idealmente 24-48 horas. Conteúdo: descrição do incidente, data/hora, dados afetados (categorias + quantidade aproximada), medidas tomadas, possíveis impactos, contato para esclarecimentos2. Comunicação é obrigatória; não comunicar é infração grave.
Quando: há risco alto aos direitos do titular (discriminação, fraude). Prazo: "sem demora". Conteúdo: descrição clara (sem pânico), direitos disponíveis ao titular (acesso, exclusão), recomendações de segurança (trocar senha, monitorar conta, considerar serviço de crédito congelado).
Factores que elevam ou reduzem risco
Dados criptografados sem acesso à chave = risco muito menor (mesmo dados sensíveis). Dados anonimizados = risco mínimo. Dados de contato sem dados sensíveis associados = risco baixo. Confinamento imediato (atacante detectado em 1 hora vs. 1 semana) reduz risco. Documentar cada mitigador.
Dados sensíveis em claro (SSN, dados bancários, biométricos). Grande quantidade de registros. Exposição pública. Tipo de atacante sugere exploração (vendedor de dados). Setor do titular (financeiro = fraude provável).
Plano de resposta a incidentes
Empresa deve ter playbook de resposta com: 1) Detecção (como identifica incidente?), 2) Contenção (como para o dano?), 3) Análise (qual foi risco?), 4) Comunicação (quando comunica?), 5) Remediação (como corrige?), 6) Lições aprendidas (como evita futuro?). Responsáveis, escalação, templates de comunicação, lista de contatos devem estar documentados. Sem playbook, resposta é caótica.
Documentação de decisão
Se incidente ocorreu mas análise conclui "sem risco ao titular" (ex: dados criptografados, não foram acessados), documentar essa análise. Ônus de prova está no controlador. Documentação robusta oferece proteção legal em auditoria posterior.
Sinais de deficiência em gestão de incidentes
- Sem plano de resposta formalizado
- Sem escalação clara (quem é notificado para qual tipo de incidente?)
- Sem análise estruturada de risco
- Sem comunicação com ANPD ou comunicação tardia
- Sem documentação de decisões
- Sem investigação forense (como sabe o que aconteceu?)
- Sem lições aprendidas (continua repetindo erros)
Implementação de IR (Incident Response)
Fase 1: Preparação
Criar plano de resposta. Definir squad (TI, compliance, jurídico). Documentar escalação. Preparar templates de comunicação.
Fase 2: Resposta + Aprendizado
Testar plano (simulações). Melhorar baseado em feedback. Após incidentes reais: documentar lições, revisar controles de segurança, implementar mitigação.
Perguntas frequentes
Quando é obrigatório comunicar um incidente de dados pessoais?
Quando há risco aos direitos e liberdades do titular (perda de privacidade, discriminação, fraude). Comunicação à ANPD é sempre obrigatória. Comunicação ao titular é obrigatória se risco é alto. Análise de risco é chave.
Qual é o prazo para comunicar à ANPD e aos titulares?
LGPD exige "sem demora". Interpretação: 24-48 horas é padrão aceitável. Atraso excessivo é infração grave. Comunicação à ANPD pode anteceder comunicação ao titular (para evitar vazamento na mídia).
O que constitui um incidente que exige comunicação?
Qualquer evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais: acesso não autorizado, perda, destruição, alteração, vazamento. Se há risco de dano ao titular, comunicação é obrigatória.
Como documentar um incidente para demonstrar conformidade?
Registrar: data/hora de detecção, descrição do incidente, dados afetados, análise de risco realizada, decisão de comunicação, conteúdo de comunicações enviadas, feedback de titulares, lições aprendidas. Tudo deve estar documentado.
Qual é a diferença entre incidente menor e grave?
Menor: risco baixo ao titular (dados criptografados, dados de contato sem sensibilidade). Comunicação não é obrigatória. Grave: risco alto (dados sensíveis, quantidade grande, exploração provável). Comunicação obrigatória à ANPD e titulares.
Quais são as sanções por não comunicar um incidente?
LGPD permite multa até R$ 50 milhões ou 2% do faturamento anual (o que for maior). Multa é cumulativa com outras sanções (restrição de processamento, publicação da infração). Conformidade é obrigatória, não opcional.
Referências
- 1 LGPD, Artigo 34 — Comunicação de incidente baseada em risco aos direitos/liberdades do titular
- 2 Guias da ANPD sobre identificação e comunicação de incidentes — www.gov.br/anpd
- NIST Cybersecurity Framework — Resposta a incidentes
- ISO 27035 — Gestão de incidentes de segurança de informações
- Jurisprudência ANPD em matéria de incidentes e sanções