Como criar um plano de resposta a incidentes de dados pessoais
Um incidente de segurança que envolve dados pessoais é uma das situações mais críticas que uma organização pode enfrentar. O relógio começa a correr no momento em que o incidente se torna conhecido — e a LGPD, regulamentada pela Resolução CD/ANPD Nº 15/2024, é precisa: 3 dias úteis para notificar a ANPD e os titulares afetados.
Organizações que não têm um plano de resposta estruturado costumam responder de forma caótica: perdem evidências, comunicam mal, atrasam a notificação e acumulam infrações sobre infrações. Os casos sancionados pela ANPD em 2023 e 2024 mostram um padrão consistente: a ausência ou o atraso na comunicação do incidente é sempre fator agravante.
Este guia apresenta o que a lei exige, o que a ANPD fiscaliza e como estruturar um plano de resposta eficaz — antes que o incidente aconteça.
O que a LGPD exige: Art. 48 e Resolução CD/ANPD Nº 15/2024
Art. 48 da LGPD — A obrigação central
"O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."
O que a comunicação deve conter (Art. 48, §1º):
- I — Descrição da natureza dos dados pessoais afetados
- II — Informações sobre os titulares envolvidos
- III — Indicação das medidas técnicas e de segurança utilizadas para proteção dos dados (observados os segredos comercial e industrial)
- IV — Riscos relacionados ao incidente
- V — Motivos da demora, se a comunicação não foi imediata
- VI — Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo
Resolução CD/ANPD Nº 15/2024 — O regulamento específico
Publicada em 26 de abril de 2024, esta resolução estabeleceu as regras operacionais para comunicação de incidentes. Seus principais elementos:
Prazo: 3 dias úteis a partir do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais.
Comunicação em duas etapas (quando necessário): Se não for possível reunir todas as informações em 3 dias úteis, pode-se enviar uma comunicação preliminar com as informações disponíveis. O complemento deve ser enviado em até 20 dias úteis adicionais.
Para agentes de pequeno porte: A Resolução CD/ANPD Nº 2/2022 prevê prazos em dobro para microempresas, EPPs, MEIs e startups enquadradas como EPP — portanto, 6 dias úteis para comunicação.
Registro obrigatório: Todos os incidentes — incluindo os que não precisam ser comunicados à ANPD — devem ser registrados internamente e mantidos por pelo menos 5 anos.
Quando notificar: o que caracteriza um incidente relevante
Nem todo incidente de segurança que envolve dados pessoais precisa ser comunicado à ANPD. A Resolução 15/2024 estabelece uma análise em dois critérios cumulativos:
Critério 1 — Pode afetar significativamente interesses e direitos fundamentais dos titulares
Situações em que o incidente pode:
- Impedir o titular de exercer seus direitos ou utilizar serviços
- Causar dano material: fraude financeira, roubo de identidade, cobranças indevidas
- Causar dano moral: discriminação, exposição pública, violação de intimidade, dano à imagem
Critério 2 — Dados envolvidos (ao menos um)
- Dados pessoais sensíveis (saúde, biometria, raça, religião, origem étnica, dados genéticos, convicção política, vida ou orientação sexual)
- Dados de crianças, adolescentes ou idosos
- Dados financeiros (contas bancárias, cartões, informações de crédito)
- Dados de autenticação: senhas, tokens, certificados digitais
- Dados protegidos por sigilo legal: sigilo bancário, fiscal, médico
- Dados tratados em larga escala (número significativo de titulares — sem limiar numérico fixo na norma)
Conclusão prática: Não há obrigação automática de comunicar qualquer incidente. O controlador deve realizar uma análise de risco documentada para determinar se os dois critérios estão presentes. A ausência de comunicação quando devida é infração; comunicações desnecessárias não geram penalidade, mas geram sobrecarga operacional.
Como notificar: ANPD e titulares
Comunicação à ANPD
Canal: Sistema Super.GOV.BR (Sistema Único de Processo Eletrônico em Rede), selecionando o tipo "ANPD – Comunicados de Incidentes à Autoridade Nacional de Proteção de Dados". Alternativamente: e-mail para fiscalizacao@anpd.gov.br.
Informações obrigatórias:
- Identificação do controlador (CNPJ, razão social, contato do Encarregado)
- Indicação se a comunicação é completa ou preliminar
- Data e hora do conhecimento do incidente
- Descrição das circunstâncias (tipo: acesso não autorizado, vazamento, perda, destruição, alteração)
- Natureza e categorias dos dados pessoais afetados
- Número estimado de titulares afetados (com atenção a crianças, adolescentes e idosos)
- Medidas técnicas e de segurança implementadas antes e depois do incidente
- Riscos identificados e possíveis impactos aos titulares
- Justificativa para eventual atraso na comunicação
- Medidas adotadas ou a serem adotadas para mitigar os efeitos
Comunicação aos titulares
Deve ocorrer simultaneamente à comunicação à ANPD (Art. 48, LGPD).
Diferenças em relação à comunicação à ANPD:
| Aspecto | Comunicação à ANPD | Comunicação aos Titulares |
|---|---|---|
| Linguagem | Técnica, completa | Acessível, clara, sem jargão |
| Foco | Detalhes técnicos e medidas adotadas | Consequências para o titular, o que ele pode fazer |
| Canal | Super.GOV.BR ou e-mail oficial | E-mail, carta, notificação no app, SMS, publicação ampla |
| Detalhamento de segurança | Pode citar medidas técnicas (respeitado segredo comercial) | Não expor detalhes técnicos que facilitem novos ataques |
Quando não for possível identificar individualmente os titulares afetados, a ANPD pode determinar a "ampla divulgação do fato em meios de comunicação" (Art. 48, §2º).
O que a ANPD aprendeu com os casos reais (2023–2024)
Os processos sancionatórios concluídos pela ANPD revelam um padrão claro de infrações relacionadas a incidentes:
INSS (2024)
Mais de 90 milhões de consultas não autorizadas ao sistema SISBEN e 9 milhões ao DATAPREV. A ANPD aplicou advertência e exigiu notificação individualizada dos beneficiários afetados. Infração central: ausência de comunicação adequada do incidente.
Secretaria de Educação do DF — SEEDF (2024)
Formulário Google Forms mal configurado expôs dados pessoais e sensíveis de 3.030 crianças e adolescentes. Quatro advertências aplicadas. Infrações: ausência de avaliação de impacto (RIPD), ausência de registros operacionais e atraso na comunicação do incidente.
Secretaria de Assistência Social de Pernambuco — SAS (2024)
Planilha pública expôs dados — inclusive sobre deficiência — de 413 pessoas. Duas advertências + obrigação de notificação direta dos afetados.
Ministério da Saúde — duas ocorrências (2024)
API sem autenticação expôs dados de saúde de milhões de brasileiros; e ataque cibernético derrubou o ConecteSUS. Infrações em ambos os casos: ausência de encarregado designado, ausência de avaliação de impacto e atraso na comunicação.
Padrão consistente em todos os casos: ausência de Encarregado, ausência de RIPD e atraso ou ausência de comunicação do incidente são as infrações mais frequentes — e todas são agravantes na dosimetria das sanções.
As 7 fases do plano de resposta a incidentes
Um plano eficaz cobre o ciclo completo — da preparação prévia ao aprendizado pós-incidente. Estruturá-lo antes do incidente é a diferença entre uma resposta organizada e uma crise.
Fase 1 — Preparação (antes do incidente)
Esta é a fase mais importante e a mais negligenciada. O que deve ser feito preventivamente:
- Defina a equipe de resposta: DPO/Encarregado (coordenador), TI/Segurança da Informação, Jurídico, Comunicação e Alta Direção. Estabeleça substitutos para cada papel.
- Crie canais de comunicação de emergência: grupo de chat seguro, lista de contatos, escalação para liderança.
- Elabore modelos: comunicação à ANPD, comunicação aos titulares, comunicado interno. Aprovados previamente, economizam horas críticas durante o incidente.
- Defina limiares de acionamento: o que configura incidente? O que requer análise de risco? O que gera notificação automática?
- Treine a equipe: simulações de incidente (tabletop exercises) ao menos anuais.
- Integre ao RIPD: o plano de resposta deve estar articulado com o Relatório de Impacto — os riscos identificados no RIPD devem ter procedimentos de resposta correspondentes.
Fase 2 — Detecção e triagem
O momento em que o incidente é identificado — e o prazo de 3 dias úteis começa a correr.
- Identificar e confirmar o incidente (distinção entre alarme falso e incidente real)
- Registrar imediatamente: data e hora do conhecimento, quem identificou, como foi identificado
- Classificar o tipo: acesso não autorizado, vazamento, perda, destruição, alteração, bloqueio
- Acionar a equipe de resposta conforme os limiares definidos na Fase 1
- Iniciar contagem formal do prazo de notificação
Fase 3 — Contenção
O objetivo é impedir que o incidente se agrave. Simultaneamente à contenção, a investigação começa.
- Isolar sistemas ou segmentos de rede comprometidos
- Revogar credenciais comprometidas
- Bloquear acessos não autorizados identificados
- Preservar evidências forenses: não deletar logs, não reinstalar sistemas antes de coletar evidências — isso pode ser necessário para a investigação e para a defesa da organização
- Comunicar internamente os envolvidos sem criar pânico ou vazar informações prematuramente
Fase 4 — Investigação e análise de risco
Com o incidente contido, investigue com rigor:
- Causa raiz: como o incidente aconteceu? Qual foi o vetor de ataque ou a falha operacional?
- Escopo: quais dados foram afetados? De quais categorias? Quantos titulares?
- Titulares especiais: há crianças, adolescentes, idosos, pessoas com deficiência, funcionários entre os afetados?
- Análise de relevância: os dois critérios da Resolução 15/2024 estão presentes? Há obrigação de comunicação?
- Documentar toda a análise — esta documentação é evidência em eventual processo sancionatório
Fase 5 — Notificação (quando obrigatória)
Até 3 dias úteis do conhecimento do incidente:
- Enviar comunicação à ANPD via Super.GOV.BR com todas as informações disponíveis
- Comunicar os titulares afetados nos canais adequados, simultaneamente
- Se as informações não estiverem completas, enviar comunicação preliminar e completar em até 20 dias úteis adicionais
- Guardar comprovantes de envio e protocolo de todas as comunicações
- Comunicar internamente a alta direção e o conselho (se aplicável)
- Notificar o operador (se o incidente ocorreu no ambiente do operador)
- Notificar o controlador (se sua organização é o operador)
Fase 6 — Remediação e melhoria
Após a contenção e a notificação, corrija a causa raiz e melhore os controles:
- Corrigir as vulnerabilidades exploradas (patch, reconfiguração, redesign de processo)
- Implementar controles adicionais para reduzir o risco residual
- Revisar e atualizar o RIPD com as novas informações sobre o risco
- Realizar treinamento específico se o incidente envolveu erro humano
- Documentar as lições aprendidas em relatório interno
- Atualizar o plano de resposta com base no que foi aprendido
Fase 7 — Registro permanente (obrigação legal)
Independentemente de o incidente ter sido comunicado à ANPD ou não, ele deve ser registrado e mantido por pelo menos 5 anos. O registro deve incluir:
- Descrição do incidente, causa raiz e escopo
- Análise de risco realizada e conclusão sobre a relevância
- Comunicações realizadas (ANPD, titulares, internamente) com datas e comprovantes
- Medidas de contenção e remediação adotadas
- Lições aprendidas e melhorias implementadas
Checklist para o plano de resposta a incidentes
Antes de um incidente, verifique se sua organização tem:
- Equipe de resposta definida com substitutos e contatos de emergência
- Canal de comunicação de emergência (não depender do sistema afetado)
- Modelos prontos de comunicação à ANPD e aos titulares
- Definição clara do que constitui incidente e quais limiares acionam o plano
- Processo de triagem documentado (como avaliar gravidade e relevância)
- Integração com o RIPD (riscos identificados têm procedimentos de resposta)
- Treinamento da equipe de resposta com simulações periódicas
- Ferramenta ou processo de registro de incidentes (inclusive os não comunicados)
- Contrato com empresa especializada em resposta a incidentes (para grandes organizações)
- Política de seguro cibernético avaliada (em crescimento no mercado brasileiro)
Erros comuns — e o que a ANPD encontrou
| Erro | Consequência | Solução |
|---|---|---|
| Não ter plano antes do incidente | Resposta caótica, perda de prazo, infrações acumuladas | Elaborar e testar o plano preventivamente |
| Atrasar a comunicação para "ter mais informações" | Violação do prazo de 3 dias úteis | Usar comunicação preliminar quando necessário |
| Não comunicar titulares — apenas a ANPD | Infração autônoma (Art. 48 é claro: ambos) | Comunicar simultaneamente |
| Deletar logs antes de investigar | Perda de evidências forenses; suspeita de encobrimento | Preservar tudo até conclusão da investigação |
| Não registrar incidentes não comunicados | Ausência de evidência do processo de análise de risco | Registrar todos os incidentes por 5 anos |
| Comunicar informações imprecisas ou incompletas | Necessidade de retificação, perda de credibilidade com a ANPD | Preferir preliminar + complemento a comunicação apressada e incorreta |
| Não atualizar o plano após o incidente | Mesmo erro se repete | Lições aprendidas documentadas e plano atualizado |
Conclusão
Um incidente de dados pessoais é inevitável para a maioria das organizações — a questão é quando, não se. A diferença entre uma crise gerenciável e um desastre reputacional e regulatório está na qualidade do plano elaborado antes do incidente.
O prazo de 3 dias úteis da Resolução CD/ANPD Nº 15/2024 é curto. Organizações que descobrem o incidente e começam a construir o plano nesse momento — identificando quem deve ser acionado, o que deve ser comunicado, como acessar o Super.GOV.BR — inevitavelmente atrasam e acumulam infrações.
Estruture o plano agora. Teste-o. E trate cada incidente, mesmo os não comunicados, como uma oportunidade de aprendizado documentado.
O Confidata inclui módulo de gestão de incidentes com registro centralizado, fluxo de triagem de relevância baseado nos critérios da Resolução 15/2024 e notificações automatizadas para o Encarregado. Conheça como podemos apoiar sua gestão de incidentes.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.