Incidentes13 min de leitura

Gestão de crises de privacidade: protocolo para C-levels e comitê executivo

Equipe Confidata·
Compartilhar

Um ataque de ransomware paralisa os servidores da empresa às 23h de uma sexta-feira. Dados de 400 mil clientes estão potencialmente comprometidos. O CEO recebe a ligação do CTO às 23h15 e precisa, em minutos, tomar decisões que afetarão a empresa pelos próximos meses — comunicar ou não a ANPD? Quando avisar os clientes? O que dizer para a imprensa?

Sem um protocolo previamente estabelecido, essas decisões são tomadas sob pressão máxima, com informações incompletas e sem clareza sobre quem tem autoridade para quê. O resultado costuma ser pior do que a crise em si.

Este artigo trata especificamente do protocolo de gestão de crises para a alta direção — o que o C-level e o comitê executivo precisam saber e decidir quando uma crise de privacidade se instala.

Crise de privacidade vs. incidente de privacidade: a distinção importa

Nem todo incidente de privacidade é uma crise. O programa de privacidade deve ter resposta operacional para incidentes cotidianos (um e-mail enviado ao destinatário errado, um acesso indevido detectado e bloqueado rapidamente). Esses são incidentes — graves, mas gerenciáveis pelo time técnico e pelo DPO sem envolvimento do C-level.

Uma crise de privacidade tem características distintas:

  • Escala: dados de grande volume de titulares comprometidos (centenas ou milhares)
  • Sensibilidade: dados sensíveis (saúde, financeiros, biométricos, de crianças) envolvidos
  • Exposição regulatória: probabilidade alta de notificação obrigatória à ANPD e aos titulares
  • Impacto reputacional: risco real de cobertura midiática negativa ou repercussão pública
  • Impacto operacional: comprometimento de sistemas críticos com paralisia de operações
  • Impacto financeiro: potencial de multas, indenizações e perda de contratos significativa

Quando um incidente tem uma ou mais dessas características, deixa de ser operacional e passa a exigir envolvimento e liderança da alta direção.

Por que o C-level precisa de protocolo próprio

O time de TI e o DPO têm seu protocolo técnico de resposta a incidentes. Mas quando a crise escala para o nível executivo, surgem decisões que vão além da competência técnica:

  • Comunicar ou não antes de ter certeza? A LGPD exige notificação à ANPD em prazo curto, mas comunicações prematuras ou incorretas podem agravar o dano reputacional
  • Quanto revelar ao mercado? Empresas listadas têm obrigações com a CVM além das obrigações com a ANPD
  • Quem fala com a imprensa? A definição de porta-voz é decisão estratégica
  • Continua operando ou paralisa? Em casos de comprometimento severo, a decisão de paralisar sistemas afeta receita imediata
  • Quando acionar o seguro cyber? Envolve jurídico e financeiro, não apenas TI
  • Responsabilizar ou não o fornecedor publicamente? Decisão com impacto em contratos ativos

Essas decisões exigem autoridade, visão estratégica e conhecimento do negócio que só o C-level tem. O protocolo de crise deve estar estruturado para que essas decisões sejam tomadas rapidamente, com base em informações confiáveis e dentro de uma estrutura de governança clara.

Estrutura do comitê executivo de crise

O primeiro elemento do protocolo é a definição antecipada do Comitê Executivo de Crise de Privacidade — quem são os membros, quais são seus papéis e quem tem autoridade final para cada tipo de decisão.

Composição recomendada

PapelResponsabilidade na crise
CEOAutoridade máxima; decisões estratégicas; comunicação com board
CFOImpacto financeiro; acionamento de seguro; provisionamento
CTO / CISOSituação técnica; contenção; recuperação; evidências forenses
DPOObrigações regulatórias; notificação à ANPD; direitos dos titulares
JurídicoResponsabilidade legal; comunicações com autoridades; contratos
Comunicação / RPMensagens externas; gestão de imprensa; comunicação com titulares
RH (se aplicável)Dados de colaboradores; questões trabalhistas

Suplência e acionamento

O protocolo deve definir:

  • Quem aciona o comitê (DPO, CISO e qualquer membro da alta direção)
  • Critérios objetivos de acionamento (ex.: qualquer incidente com >100 titulares potencialmente afetados, ou qualquer incidente envolvendo dados sensíveis)
  • Canal de comunicação interna do comitê (grupo seguro, não e-mail corporativo — que pode estar comprometido)
  • Ordem de acionamento e suplência (o CEO pode estar em viagem internacional)

As primeiras 4 horas: decisões críticas

As primeiras horas de uma crise de privacidade são as mais críticas para conter o dano e para cumprir obrigações legais. O protocolo deve definir uma sequência clara de ações.

Hora 1: Verificar e acionar

  • Confirmar a natureza do evento: é realmente uma crise (pelos critérios definidos) ou um incidente operacional?
  • Acionar o comitê executivo com as informações disponíveis — mesmo que incompletas
  • Isolar sistemas comprometidos (decisão técnica, mas que pode requerer autorização executiva se afetar operações críticas)
  • Preservar evidências: instrução explícita para não apagar logs, não desligar servidores comprometidos sem orientação forense

Horas 1–2: Avaliar e conter

  • Reunião do comitê (presencial ou remota) para alinhamento da situação
  • Avaliar escala preliminar: quantos titulares afetados? Que tipos de dados? Qual a causa provável?
  • Decidir sobre continuidade operacional: sistemas críticos podem continuar? Há risco de agravamento?
  • Acionar especialistas externos: forense digital, comunicação de crise, jurídico especializado (se não tiver internamente)
  • Proibição de comunicação não autorizada: nenhum colaborador deve comentar o incidente externamente; apenas o porta-voz designado

Horas 2–4: Comunicação interna e preparação para notificação

  • Comunicar ao board / conselho de administração (se diferente do comitê executivo)
  • Avaliar obrigação de notificação: à ANPD, aos titulares, à CVM (se listada), a parceiros contratuais com cláusula de notificação
  • Preparar rascunho inicial da comunicação à ANPD (mesmo que incompleto — será completado nas próximas horas/dias)
  • Definir porta-voz e linha de comunicação para eventuais perguntas externas

Obrigações legais e prazos: o que o C-level deve saber

Notificação à ANPD

A Resolução CD/ANPD nº 15/2024 estabelece que incidentes de segurança com potencial risco ou dano relevante aos titulares devem ser comunicados à ANPD em até 3 dias úteis após o conhecimento do incidente. Um relatório complementar completo deve ser enviado em até 20 dias úteis a partir da data da comunicação preliminar à ANPD.

O conhecimento do incidente é datado a partir do momento em que o controlador tomou ciência de forma suficientemente clara — não necessariamente quando foi descoberto pela TI, mas quando a organização (incluindo a alta direção) foi informada de forma organizada.

Atenção prática para o C-level: o prazo de 3 dias úteis começa a correr independentemente de a investigação estar completa. A comunicação inicial pode ser feita com informações preliminares, com atualização posterior no relatório complementar.

Comunicação aos titulares

A LGPD exige que os titulares afetados sejam comunicados quando o incidente puder causar risco ou dano relevante. A forma, o canal e o conteúdo da comunicação são decisões estratégicas que envolvem tanto o aspecto legal quanto o reputacional — e por isso devem ser definidos pelo comitê executivo, não apenas pelo DPO.

Obrigações contratuais com parceiros

Muitos contratos B2B incluem cláusulas de notificação de incidentes de segurança com prazos próprios (frequentemente 24–72 horas). O comitê deve identificar imediatamente quais contratos ativos têm essa obrigação.

Comunicação em situação de crise: princípios para o C-level

A comunicação durante uma crise de privacidade é uma das decisões mais consequentes e, paradoxalmente, mais negligenciadas nos protocolos corporativos.

Princípios que o comitê deve adotar:

1. Transparência proporcional ao que é sabido Não comunicar especulações ou informações não confirmadas. Mas também não silenciar enquanto a crise está se desdobrando — o silêncio é interpretado como ocultação.

2. Uma única voz pública Definir um único porta-voz (geralmente CEO ou CCO) e garantir que todos os demais membros do comitê redirecionem perguntas para essa pessoa.

3. Comunicar antes que a notícia vaze Se há risco real de cobertura midiática, é melhor comunicar proativamente do que ser surpreendido por uma reportagem. Crises geridas proativamente têm desfechos reputacionais significativamente melhores.

4. Separar mensagens para diferentes públicos A mensagem para titulares afetados, para a imprensa, para parceiros de negócio e para colaboradores internos tem conteúdo diferente — mas deve ser consistente em fatos e tom.

5. Documentar todas as comunicações Cada comunicação feita durante a crise deve ser registrada (o quê, para quem, quando, por quem). Essa documentação é fundamental para demonstrar à ANPD que a organização agiu de boa-fé.

O papel do DPO na crise: suporte ao comitê, não responsável único

Um erro frequente é colocar o DPO como único responsável pela gestão da crise. O DPO tem papel crítico — mas é de suporte especializado ao comitê, não de liderança executiva.

O DPO é responsável por:

  • Avaliar as obrigações legais e os prazos de notificação
  • Redigir as comunicações à ANPD e orientar as comunicações aos titulares
  • Orientar o comitê sobre os direitos dos titulares que devem ser atendidos
  • Assegurar que as evidências estejam preservadas para o relatório complementar
  • Acompanhar as investigações e alimentar o comitê com atualizações jurídico-regulatórias

O DPO não é responsável por decisões operacionais (containment técnico), por comunicação com a imprensa, por decisões de continuidade de negócio ou por acionamento de seguro.

Tabletop exercises: preparar o comitê antes da crise

O protocolo escrito não é suficiente. As decisões de crise são tomadas sob pressão — e a pressão paralisa quem não treinou. Os tabletop exercises (exercícios de mesa) são simulações conduzidas com o comitê executivo para praticar as decisões antes que sejam reais.

Como funciona

O facilitador (DPO, consultora especializada ou empresa de cibersegurança) apresenta um cenário hipotético — um ransomware, um vazamento de dados de colaboradores por um fornecedor, uma exposição de dados de saúde em um sistema legado. O comitê toma as decisões que tomaria em uma situação real, em tempo comprimido.

O que o exercício revela

  • Lacunas no protocolo (decisões que ninguém sabe quem deve tomar)
  • Informações que o comitê precisaria mas não tem (ex.: inventário de dados não existe, contrato com fornecedor não tem cláusula de notificação)
  • Gargalos de comunicação (membros que não sabem como contatar uns aos outros em emergência)
  • Brechas legais (DPO não sabia do prazo da Resolução nº 15/2024)

Frequência recomendada

A realização de tabletop exercises anuais é o mínimo para organizações com volume significativo de dados pessoais. Após um incidente real, um exercício de revisão do protocolo deve ser realizado independentemente do ciclo anual.

Documentação do protocolo: o que deve estar escrito

O protocolo de crise deve ser um documento formal, aprovado pelo board ou pelo comitê executivo, e acessível rapidamente no momento da crise. Deve incluir:

  • Critérios de acionamento do comitê executivo de crise
  • Membros do comitê, suplentes e contatos de emergência
  • Sequência de ações nas primeiras 4 horas
  • Prazos legais obrigatórios (ANPD, parceiros, CVM)
  • Template de comunicação inicial à ANPD
  • Template de comunicação a titulares
  • Lista de fornecedores/especialistas externos a acionar (forense, comunicação de crise, jurídico)
  • Critérios para acionamento do seguro cyber
  • Procedimento de registro/documentação durante a crise

Conclusão: a crise que você não se preparou é a que vai te destruir

Crises de privacidade não são improváveis — são inevitáveis para organizações que tratam dados em escala. A diferença entre uma crise que afunda e uma crise que fortalece a reputação está na preparação prévia do C-level: protocolos testados, comitê treinado e decisões que foram pensadas antes da pressão.

Para o board e a alta direção, preparar o protocolo de crise de privacidade não é burocracia de compliance — é gestão de risco estratégico. E como todo risco estratégico, precisa de atenção no momento certo: antes do evento, não durante.

Para entender o que a ANPD espera receber e como avalia a resposta das organizações a incidentes, o próximo passo é conhecer o framework de fiscalização do regulador.

Baixe o eBook "ANPD: O que esperar da fiscalização em 2026" e saiba o que o regulador observa na gestão de crises das organizações fiscalizadas.

Compartilhar
#gestão crise privacidade#protocolo crise dados#comunicação crise LGPD#comitê executivo privacidade#crise ANPD#resposta incidente C-level

Artigos relacionados

Ransomware em Hospitais: O Que a LGPD Exige Após um AtaqueIncidentes · 14 minCasos reais de incidentes de dados no Brasil: lições aprendidasIncidentes · 12 minPós-Incidente de Dados: Medidas Corretivas e Lições AprendidasIncidentes · 12 minComo comunicar um vazamento de dados aos titulares afetadosIncidentes · 11 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista