Neste artigo: Como este tema funciona na sua empresa Incidente de TI vs. Incidente de Privacidade: a diferença Fases de resposta com lente LGPD Estrutura de time de resposta: papéis e responsabilidades Análise de risco de privacidade em 24h Comunicação à ANPD e ao titular Documentação e auditoria Implementação interna Consultoria e suporte Perguntas frequentes Como adequar plano de resposta a incidentes para LGPD? Quais são as etapas essenciais de resposta com dados pessoais? Qual é a diferença entre incidente de TI e incidente de privacidade? Quem deve estar no time de resposta a incidentes? Como manter plano atualizado e testado? Qual é a relação entre plano de resposta e conformidade LGPD? Referências

oHub Base TI Cibersegurança e Proteção de Dados › LGPD e Conformidade

Plano de resposta a incidentes sob ótica da LGPD

Q: Como adequar plano de resposta a incidentes para LGPD?

Adicione gate de privacidade. Envolver DPO com SLA. Prepare templates de comunicação. Documente tudo.

Q: Quais são as etapas essenciais de resposta com dados pessoais?

Detecção ? Gate privacidade ? Análise de risco (DPO em 24h) ? Decisão de comunicação ? Notificar ANPD/titulares ? Documentação.

Q: Qual é a diferença entre incidente de TI e incidente de privacidade?

TI: falha de sistema, pode não envolver PII. Privacidade: risco aos direitos do titular. Gate determina se é ambos.

Q: Quem deve estar no time de resposta a incidentes?

Incident Commander, DPO, Jurídico, Communications, TI/Security, Compliance com responsabilidades claras.

Q: Como manter plano atualizado e testado?

Revisão formal anual. Teste semestral/trimestral. Atualizar com mudanças organizacionais.

Q: Qual é a relação entre plano de resposta e conformidade LGPD?

LGPD exige comunicação sem demora. Plano facilita cumprimento. Documentação é evidência de conformidade.

Adequação do plano corporativo de resposta a incidentes aos requisitos específicos da LGPD.

Atualizado em: 24 de abril de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona na sua empresa

Pequena empresa

Média empresa

Grande empresa

Plano de resposta a incidentes sob ótica da LGPD é extensão do plano corporativo que adiciona gate de privacidade: quando há incidente, é necessário avaliar rapidamente se dados pessoais foram afetados. Se sim, ativa protocolo específico: análise de risco, comunicação à ANPD (se obrigatório), comunicação aos titulares. Muitas empresas têm plano de resposta (foco em disponibilidade e integridade), mas falta lente de privacidade (confidencialidade de dados pessoais). Integração de LGPD no IRP existente não é começar do zero — é adicionar gates e envolver novos atores (DPO, compliance, jurídico).

Incidente de TI vs. Incidente de Privacidade: a diferença

Incidente de TI pode não ter privacidade. Sistema down por ransomware é incidente TI crítico, mas se dados pessoais estavam criptografados ou não foram acessados, não há obrigação LGPD de comunicação. Incidente de privacidade é aquele onde há risco aos direitos/liberdades do titular de dados. Um usuário deletou arquivo por acidente é incidente TI (necessário restore), não é incidente privacidade. Um atacante acessou lista de clientes com CPF é incidente privacidade. Gate de decisão: "Há dados pessoais envolvidos?" Se sim, ativa módulo de privacidade^[1].

Fases de resposta com lente LGPD

T+0h: Detecção de incidente (alerta de sistema, usuário reporta). T+4h: DPO avalia preliminarmente se há dados pessoais afetados. Decisão inicial: continuar investigação como incidente privacidade ou não. T+24h: Análise de risco completa por DPO: que titulares foram afetados? Qual é o risco? Obrigação de comunicação? T+48h: Se obrigação de comunicação, notificar ANPD. T+72h–7 dias: Se obrigação, notificar titulares. Ongoing: Comunicação transparente sobre mitigação, direitos do titular, etc.

Diferença vs. IRP clássico: gates de privacidade e cronograma de comunicação legal.

Estrutura de time de resposta: papéis e responsabilidades

Incident Commander: Liderança técnica. DPO/Privacy Officer: Avalia risco de privacidade, determina se há obrigação de comunicação. Jurídico: Interpreta lei, prepara comunicação à ANPD e mídia. Communications: Redige comunicações ao titular, ANPD, mídia. TI/Security: Investigação técnica, coleta evidência, remediação. Compliance: Monitora conformidade com LGPD, documenta tudo.

Papéis podem ser acumulados em empresa pequena (DPO = Jurídico), mas responsabilidades devem ser claras.

Pequena (=50): Documento simples (1–2 páginas) com: contatos (DPO, TI, jurídico), fluxo de decisão (há PII?), critério de comunicação, templates. Revisão anual. Teste: simulação com email fictício.

Média (51–500): Plano corporativo + módulo de LGPD. Seção que detalha: gate de decisão (DPO em 4h), escalação automática (crítico ? C-level), comunicação (templates, cronograma). Papéis: Incident Commander, DPO, Jurídico, Communications. Teste: simulação semestral.

Grande (+500): Módulo de privacidade integrado ao IRP. Detecção automática quando incidente toca PII (via tag de dados). Squad dedicada de privacy response (DPO + analista). Automação de escalação. Testes contínuos (simulações trimestrais).

Análise de risco de privacidade em 24h

DPO recebe notificação de incidente. Dentro de 24h deve responder: (1) Que tipo de dados foram afetados? (nome, CPF, email, dados de cartão, dados médicos?) (2) Quantos titulares? (1 pessoa vs. 100k pessoas = riscos diferentes) (3) Qual é o risco? (dado foi acessado? Exfiltrado? Modificado?) (4) Consentimento do titular existia? (se não, risco maior porque coleta pode ser ilegal). (5) Comunicação obrigatória? (se risco aos direitos/liberdades, sim). Resultado: recomendação formal de comunicação ou não-comunicação, documentada.

Comunicação à ANPD e ao titular

Se análise de risco conclui que há obrigação: ANPD deve ser notificada sem demora (ideal: <24h da conclusão de risco). Titular também deve ser notificado (prazo: razoável, idealmente <7 dias). Comunicação deve incluir: descrição do incidente, tipo de dados afetados, direitos do titular (acesso, retificação, exclusão, portabilidade, bloqueio), como mitigou (medidas tomadas), contato para mais informações. Comunicação deve ser clara, não jurídico denso — titular deve entender o que aconteceu.

Recomendação: ter templates preparados antes do incidente. Quando ocorre, preencher dados específicos, enviar.

Documentação e auditoria

Plano deve gerar documentação de cada incidente com dados pessoais: (1) Data/hora de detecção. (2) Descrição do incidente. (3) Análise de risco (realizada por DPO, documentada). (4) Decisão de comunicação (comunicar ou não, por quê). (5) Comunicações enviadas (ANPD, titulares, mídia). (6) Feedback de titulares (reclamações? Requisições de direitos?). (7) Lições aprendidas. Tudo deve ser armazenado por tempo definido em política de retenção (LGPD recomenda indefinidamente para conformidade).

Sinais de que seu plano não está adequado à LGPD:

Plano de resposta não menciona privacidade ou LGPD
Não há gate de decisão "há dados pessoais envolvidos?"
DPO não está envolvido no plano ou não tem SLA de resposta
Sem templatede comunicação à ANPD ou titulares
Sem documentação de incidentes (não há auditoria)
Incidente anterior não foi comunicado à ANPD por falta de clareza de obrigação

Implementação interna

Pequena: Adicione seção de LGPD ao IRP existente. Defina contatos 24/7 (DPO, jurídico). Prepare templates de comunicação.

Média: Integre privacidade no IRP corporativo. DPO ativo no CIRT. Teste regular de simulação com cenário de vazamento de dados pessoais.

Grande: Squad dedicada de privacy response. Automação de escalação quando PII detectada. Simulações trimestrais.

Consultoria e suporte

Design de plano: Consultoria em LGPD + incident response pode integrar ambos customizado.

Templates: Fornecedores oferecem templates de comunicação à ANPD e titulares, adaptáveis.

Teste simulado: Empresa especializada pode conduzir simulação realista de vazamento de dados com ANPD/mídia simulados.

Encontrar fornecedores de TI no oHub

Perguntas frequentes

Como adequar plano de resposta a incidentes para LGPD?

Adicione gate de privacidade (há PII?). Envolver DPO com SLA de resposta (<4–24h). Prepare templates de comunicação à ANPD e titulares. Documente tudo.

Quais são as etapas essenciais de resposta com dados pessoais?

Detecção ? Gate de privacidade (há PII?) ? Análise de risco (DPO em 24h) ? Decisão de comunicação ? Notificar ANPD/titulares ? Documentação ? Lições aprendidas.

Qual é a diferença entre incidente de TI e incidente de privacidade?

Incidente de TI: falha de sistema, indisponibilidade, pode não envolver PII. Incidente privacidade: risco aos direitos/liberdades do titular. Gate de decisão determina se é ambos.

Quem deve estar no time de resposta a incidentes?

Incident Commander, DPO, Jurídico, Communications, TI/Security, Compliance. Responsabilidades claras por papel.

Como manter plano atualizado e testado?

Revisão formal anual. Teste (simulado) semestral ou trimestral. Atualizar quando houver mudança organizacional (nova ferramenta, novo DPO, novo setor).

Qual é a relação entre plano de resposta e conformidade LGPD?

LGPD exige comunicação de incidente sem demora. Plano estruturado com SLA clara e templates facilita cumprimento. Documentação é evidência de conformidade.