oHub Base TI / Desafios / Crise / Tive vazamento de dados pessoais

Tive vazamento de dados pessoais

Incidente LGPD — comunicação à ANPD em 72 horas, notificação aos titulares, mitigação, contenção legal e mudanças estruturais.

Resposta rápida

Vazamento de dados pessoais é incidente sob LGPD com obrigações específicas e prazo curto. A resposta tem quatro frentes simultâneas. Primeiro, contenção: estancar o vazamento (fechar a porta de saída — credencial comprometida, sistema mal configurado, link público), preservar evidências, isolar componentes afetados. Segundo, avaliação de risco aos titulares: que dados vazaram, de quantas pessoas, qual a sensibilidade, qual o potencial de dano (fraude financeira, exposição íntima, discriminação). Essa avaliação determina a obrigação de notificar ANPD e titulares. Terceiro, comunicações exigidas pela LGPD: ANPD em prazo razoável (a regra prática consolidada é até três dias úteis para casos com risco relevante), titulares quando houver risco relevante, autoridades adicionais conforme o setor. Quarto, remediação estrutural — sem ela, próximo incidente é questão de tempo. Acione o DPO ou jurídico desde o primeiro momento.

Pequena até 50 colaboradores

Na empresa pequena, raramente há DPO interno e o jurídico costuma ser advogado externo de contrato pontual. A primeira ligação precisa ser para ele, ou para um advogado especializado em LGPD se o atual não dominar — o prazo da ANPD não espera. Em paralelo, MSP ou TI contém o vazamento: trocar credencial comprometida, fechar acesso público, isolar sistema. Avaliação de risco pode parecer subjetiva mas precisa ser estruturada: o que vazou, de quantas pessoas, qual a sensibilidade. Para esse porte, vale considerar contratar consultoria pontual de LGPD para conduzir a resposta — é incidente com consequência legal séria e improviso costuma sair caro. Comunicação aos titulares, quando devida, costuma ser via e-mail direto; preparar a mensagem com cuidado evita pânico desnecessário ou questionamento posterior.

Média 51–500 colaboradores

Na empresa média, costuma haver DPO designado (interno ou externo) e jurídico estruturado. A primeira ação é acionar o DPO, que coordena a resposta com TI, jurídico, comunicação e gestor da área afetada. Avaliação de risco precisa ser formal — documentada, com critérios — porque vai sustentar a decisão de notificar ou não, e essa decisão pode ser auditada depois. Comunicação à ANPD é por canal eletrônico oficial e exige documentação cuidadosa. Notificação aos titulares precisa ser planejada operacionalmente (lista de afetados, canal, conteúdo da mensagem, suporte para perguntas). Comunicação interna ao time precisa acontecer também, para que ninguém repasse para fora informação errada. Após estabilizar, RCA cobre técnica e processo de governança de dados.

Grande +500 colaboradores

Na empresa grande, há DPO formal, comitê de privacidade, jurídico próprio e estrutura de resposta a incidente de privacidade documentada. A resposta segue rito: ativação do plano de incidente de privacidade, war room com DPO, jurídico, CISO, comunicação, RI e gestor da área afetada. Avaliação de risco usa metodologia interna (matriz de gravidade, probabilidade de dano). Comunicação à ANPD passa por revisão jurídica cuidadosa. Notificação a titulares costuma ser em massa e exige operação dedicada (call center reforçado, FAQ, canal de dúvida). Para incidente grande, comunicação a mercado e mídia pode ser necessária — RI e comunicação institucional precisam estar coordenadas. Sanções da ANPD em incidentes desse porte podem ser materiais; remediação demonstrada reduz a gravidade da eventual sanção.

Você está vivendo isso se…
  • Dados pessoais foram acessados por quem não deveria
  • Banco ou planilha com dados ficou exposto publicamente sem autenticação
  • Atacante exfiltrou dados antes ou durante incidente de segurança
  • Funcionário enviou base de dados para destinatário externo errado
  • Dispositivo perdido ou roubado continha dados pessoais
  • Fornecedor relatou incidente que afetou dados que ele tratava por você

Contenção: estancar antes de qualquer outra coisa

O primeiro objetivo é parar a hemorragia. Identifique e feche a porta: trocar credencial vazada, fechar bucket público em nuvem, desativar integração problemática, recolher dispositivo perdido se for o caso, bloquear conta que enviou indevidamente, isolar sistema invadido. Em paralelo, preserve evidências — logs, prints, cópias dos arquivos expostos, registro do horário de descoberta — porque tudo isso vai sustentar a investigação e a comunicação às autoridades.

Avaliação de risco aos titulares

A LGPD pede comunicação à ANPD e aos titulares quando o incidente apresenta risco relevante aos direitos e liberdades. Avaliar esse risco é tarefa técnica e jurídica, não opcional, e precisa ser documentada. Alguns critérios costumam guiar.

Volume e natureza dos dados

Dados sensíveis (saúde, origem racial, opinião política, biometria, dados de menores), dados financeiros, dados de identificação ampla (CPF + endereço + dados que permitem fraude) elevam o risco. Dados básicos isolados (só nome, só e-mail corporativo) costumam ter risco menor.

Quem teve acesso e por quanto tempo

Exposição pública na internet por dias é muito diferente de acesso interno indevido por minutos. Quanto mais ampla e prolongada a exposição, maior o risco.

Potencial de dano concreto

Fraude financeira contra titulares, exposição íntima, discriminação, dano à reputação, exposição de menores. Mapear o cenário realista de uso indevido dos dados vazados ajuda a calibrar a resposta.

Protocolo das primeiras 72 horas
  1. Contenha o vazamento. Feche a porta de saída, isole o componente, preserve evidências. Sem contenção, comunicar ANPD com vazamento aberto é assumir incompetência adicional.
  2. Acione DPO e jurídico imediatamente. A resposta tem natureza legal além da técnica. Improvisar fora desse trilho costuma sair caro.
  3. Avalie risco aos titulares. Que dados vazaram, de quantas pessoas, qual a sensibilidade, qual o potencial de dano. Documente o raciocínio.
  4. Comunique a ANPD se houver risco relevante. A regra prática consolidada é até três dias úteis. A comunicação é por canal eletrônico oficial com formulário específico — DPO conduz.
  5. Notifique titulares quando aplicável. Comunicação clara, em linguagem acessível, com orientação prática (trocar senha, monitorar conta, atenção a phishing direcionado).
  6. Comunique outras partes envolvidas. Fornecedor que tratava os dados (responsabilidade compartilhada), órgãos setoriais (financeiro, saúde, etc.) conforme o caso.
  7. Documente tudo. Linha do tempo, decisões, evidências, comunicações enviadas. ANPD pode pedir, e demonstração de governança reduz gravidade de eventual sanção.
Particularidade brasileira: a ANPD tem ampliado a fiscalização e divulga decisões públicas sobre incidentes mal conduzidos. Demonstrar resposta tempestiva, documentada e proporcional reduz substancialmente o risco de sanção severa. Esconder, atrasar ou minimizar costuma piorar o desfecho — quando o incidente vem a público por terceiro (vítima, mídia, vazamento secundário), a empresa perde a narrativa.

Comunicação aos titulares

Quando há obrigação de notificar titulares, a comunicação precisa ser clara, em linguagem acessível, sem juridiquês, com informações práticas. A LGPD exige conteúdo mínimo: descrição do incidente, dados envolvidos, riscos identificados, medidas adotadas, recomendações ao titular, canal para dúvidas. Evite tom defensivo ou minimizador — a comunicação honesta preserva mais reputação que tentativa de minimizar evento real. Disponibilize canal de dúvida (e-mail, telefone) com capacidade para responder; canal divulgado sem atendimento por trás piora a percepção.

Remediação estrutural

O incidente expõe vulnerabilidade — não fechar essa vulnerabilidade é convite à repetição, e a segunda vez tem severidade maior aos olhos da ANPD. O plano de remediação cobre causa técnica (correção imediata), processo (governança que falhou, treinamento, automação) e arquitetura (mudança estrutural que reduz superfície). Documente o plano, execute, e mantenha evidências — em fiscalização futura, plano de remediação implementado pesa a favor.

Armadilhas comuns no vazamento de dados pessoais

Atrasar a comunicação à ANPD esperando "ter mais clareza". O prazo é curto. Comunicar com informação parcial é melhor que comunicar tarde — atualizações posteriores são previstas.

Esconder ou minimizar o incidente. Quando vem a público por terceiros, a empresa perde a narrativa e a sanção tende a ser maior. Transparência tempestiva preserva mais que silêncio.

Responder à crise só com TI. Vazamento de dados pessoais é incidente legal além de técnico. Sem DPO e jurídico, a resposta perde elementos centrais.

Notificar titulares com juridiquês incompreensível. Comunicação clara, em linguagem acessível, com orientação prática. Documento juridicamente preciso mas ininteligível ao titular falha no propósito.

Não fazer remediação estrutural. Fechar o buraco específico sem revisar a governança que permitiu a falha é convidar a repetição. Segunda ocorrência tem severidade maior aos olhos da ANPD.

Antes de encerrar a resposta, confira:
  • Vazamento foi contido (porta fechada, evidência preservada)
  • DPO e jurídico estão coordenando a resposta
  • Avaliação de risco aos titulares foi feita e documentada
  • ANPD foi notificada no prazo razoável quando havia obrigação
  • Titulares foram notificados com linguagem clara e orientação prática
  • Canal de dúvida está ativo com capacidade real de resposta
  • Plano de remediação estrutural foi definido e está em execução
  • Toda comunicação e decisão está documentada para eventual fiscalização

O que fazer ao detectar vazamento de dados pessoais?

Em ordem: contenha o vazamento (fechar a porta de saída, preservar evidências), acione DPO e jurídico imediatamente, avalie o risco aos titulares (que dados vazaram, quantos titulares, sensibilidade, potencial de dano), notifique a ANPD em prazo razoável quando houver risco relevante, notifique os titulares quando aplicável, comunique outras partes envolvidas (fornecedores, órgãos setoriais) e documente tudo para eventual fiscalização. Improvisar fora do trilho jurídico costuma sair caro.

Em quanto tempo preciso notificar a ANPD?

A LGPD pede comunicação em prazo razoável quando há risco relevante aos titulares. A regra prática consolidada — refletida em comunicações da própria ANPD — é até três dias úteis a partir do conhecimento do incidente. Comunicar com informação parcial é melhor que comunicar tarde, porque atualizações posteriores são previstas e esperadas. Atrasar esperando "ter mais clareza" tende a piorar a avaliação da autoridade sobre a sua resposta.

Quando preciso notificar os titulares afetados?

Quando o incidente apresenta risco relevante aos seus direitos e liberdades. Os critérios para avaliar: natureza dos dados (sensíveis, financeiros, biométricos elevam o risco), volume de titulares, amplitude e duração da exposição, potencial concreto de dano (fraude, exposição íntima, discriminação). A comunicação precisa ser em linguagem clara, com orientação prática ao titular (trocar senha, monitorar conta, ficar atento a phishing) e canal de dúvida ativo. Evite juridiquês e tom defensivo.

Devo esconder o vazamento para preservar reputação?

Esconder costuma piorar muito mais a reputação do que comunicar. Quando o incidente vem a público por terceiros (vítima, mídia, vazamento secundário, denúncia à ANPD), a empresa perde a narrativa e a sanção tende a ser substancialmente maior. Transparência tempestiva, com plano de remediação demonstrado, preserva mais reputação que tentativa de minimizar evento real. A ANPD divulga publicamente decisões sobre incidentes mal conduzidos — esconder potencializa a exposição que se queria evitar.

Como evitar vazamentos no futuro?

Remediação estrutural após cada incidente é o ponto central. Os pilares mais comuns: mapeamento de dados pessoais (saber onde estão e quem trata), controle de acesso baseado em mínimo privilégio com revisão regular, criptografia em repouso e em trânsito, configuração padrão segura em nuvem (evitar bucket público acidental), monitoramento de movimentação anormal de dados, treinamento regular de quem opera dados, contratos de fornecedor com obrigações de privacidade claras, plano de resposta a incidente testado em simulação. Compliance LGPD é prática contínua, não projeto.
Aprofundar
Ver todos os artigos sobre LGPD e Conformidade (Cibersegurança e Proteção de Dados)