Resposta regulatória, comunicação e mitigação de danos

Empresas costumam pensar em incidentes de dados apenas quando ocorre um ataque cibernético. Essa visão é limitada. Pela lógica da Lei Geral de Proteção de Dados, o problema jurídico não começa quando há um hacker, mas quando há um evento adverso confirmado que compromete a confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.

Isso significa que um incidente pode decorrer de invasão, ransomware, vazamento, acesso indevido, envio equivocado de informações, perda de dispositivo, indisponibilidade de sistema ou falha operacional. A própria ANPD esclarece que incidentes não se restringem à quebra de confidencialidade, podendo abranger também perda ou indisponibilidade de dados pessoais. 

A conclusão jurídica é direta: a empresa não deve esperar o primeiro ataque para estruturar sua resposta. O protocolo precisa existir antes do incidente, porque, depois dele, o tempo passa a correr contra a organização.

1. O que deve existir antes do incidente?

O protocolo de resposta a incidentes deve ser tratado como instrumento de governança, não como documento meramente técnico. Ele deve demonstrar que a empresa adotou medidas prévias de prevenção, detecção, resposta e mitigação, em linha com os deveres de segurança, prevenção, responsabilização e prestação de contas previstos na LGPD.

Na prática, recomenda-se que a organização possua, antes de qualquer incidente:

  1. Política interna de resposta a incidentes, com fluxo decisório claro;
  2. Matriz de classificação de gravidade, separando eventos de baixo, médio e alto risco;
  3. Comitê de crise, envolvendo jurídico, tecnologia, segurança da informação, encarregado de dados, comunicação e alta administração;
  4. Inventário de dados e sistemas críticos, para identificar rapidamente quais bases foram afetadas;
  5. Modelo de relatório de incidente, com campos mínimos para documentação;
  6. Cláusulas contratuais com operadores e fornecedores, impondo dever de comunicação imediata;
  7. Plano de comunicação com titulares, ANPD, clientes, parceiros e imprensa, quando aplicável;
  8. Critérios para preservação de evidências, logs, registros de acesso e cadeia de custódia.

A lógica técnica por trás desse protocolo também é compatível com boas práticas internacionais de segurança cibernética. O NIST Cybersecurity Framework 2.0 organiza a gestão de risco em seis funções centrais: governar, identificar, proteger, detectar, responder e recuperar. 

2. A primeira pergunta jurídica: houve incidente com dados pessoais?

Nem toda falha de segurança é, necessariamente, um incidente comunicável à ANPD. A primeira análise deve verificar se o evento:

  1. foi confirmado;
  2. envolve dados pessoais sujeitos à LGPD;
  3. pode gerar risco ou dano relevante aos titulares.

A ANPD orienta que esses três critérios devem ser observados cumulativamente para definir se o incidente precisa ser comunicado. 

Portanto, a empresa deve evitar dois erros opostos.

O primeiro erro é minimizar o incidente sem investigação suficiente, assumindo que “não houve vazamento” antes de examinar logs, escopo, tipo de dado e impacto potencial.

O segundo erro é comunicar automaticamente qualquer evento, sem análise jurídica adequada. A comunicação indevida, precipitada ou tecnicamente imprecisa pode ampliar o risco reputacional, gerar contradições futuras e produzir efeitos desnecessários perante titulares, clientes e autoridade regulatória.

A conduta correta é instaurar imediatamente uma apuração interna documentada.

3. Como avaliar risco ou dano relevante?

A análise de risco deve considerar, no mínimo:

  • contexto da atividade de tratamento;
  • categorias e quantidade de titulares afetados;
  • natureza, categoria e quantidade de dados violados;
  • potenciais danos materiais, morais e reputacionais;
  • existência de criptografia, anonimização ou outra medida que impeça a identificação dos titulares;
  • medidas de mitigação adotadas após o incidente.

A ANPD considera especialmente relevantes os incidentes que possam gerar danos materiais ou morais, discriminação, roubo de identidade, fraude, exposição de dados sensíveis, dados de crianças, adolescentes, idosos ou dados em larga escala. 

Aqui há um ponto jurídico importante: a empresa não precisa ter certeza absoluta de que o dano ocorreu. O dever de comunicação pode surgir quando o incidente possa acarretar risco ou dano relevante. A expressão “possa acarretar” exige análise prospectiva, não apenas confirmação de prejuízo já consumado.

4. O prazo de comunicação: três dias úteis

Confirmado que o incidente envolve dados pessoais e pode gerar risco ou dano relevante, o controlador deve comunicar a ANPD e os titulares no prazo de três dias úteis, salvo prazo específico previsto em legislação setorial. Segundo a ANPD, a comunicação pode ser preliminar quando nem todas as informações estiverem disponíveis, mas deverá ser complementada, de forma fundamentada, no prazo de vinte dias úteis. 

Esse prazo exige que a empresa saiba previamente:

  • quem aciona o comitê de crise;
  • quem valida juridicamente a comunicação;
  • quem fala com a ANPD;
  • quem fala com os titulares;
  • quem preserva evidências;
  • quem interage com fornecedores;
  • quem aprova a narrativa institucional.

Sem isso, a empresa perde tempo discutindo procedimento quando deveria estar executando resposta.

5. O papel do controlador e do operador

A obrigação legal de comunicar o incidente à ANPD e aos titulares é do controlador. Contudo, o operador deve informar o controlador sem demora injustificada e fornecer as informações necessárias para viabilizar a comunicação. A própria ANPD recomenda que essas obrigações sejam previstas em contrato, justamente para reduzir atrasos e minimizar riscos aos titulares. 

Por isso, contratos com fornecedores de tecnologia, software, nuvem, folha de pagamento, CRM, contabilidade, marketing, atendimento, cobrança ou gestão documental devem conter cláusulas específicas sobre:

  • prazo máximo de aviso ao controlador;
  • dever de cooperação técnica;
  • compartilhamento de logs e evidências;
  • obrigação de mitigação imediata;
  • confidencialidade;
  • suporte à comunicação regulatória;
  • responsabilidade por falhas de segurança;
  • auditoria e comprovação de medidas técnicas.

Um protocolo interno sem cláusulas externas é incompleto. Em incidentes de dados, a empresa frequentemente depende de terceiros para entender o que ocorreu.

6. Comunicação à ANPD

A comunicação à ANPD deve ser objetiva, técnica e juridicamente consistente. Ela não deve ser tratada como mera formalidade administrativa.

A comunicação deve indicar, conforme aplicável:

  • descrição do incidente;
  • natureza e categoria dos dados pessoais afetados;
  • número estimado de titulares;
  • medidas técnicas e administrativas existentes antes do incidente;
  • medidas adotadas após a identificação;
  • riscos relacionados ao evento;
  • possíveis impactos aos titulares;
  • data de conhecimento;
  • identificação do controlador;
  • identificação do operador, se houver;
  • dados do encarregado ou representante;
  • medidas de reversão ou mitigação.

A comunicação voluntária, tempestiva e fundamentada tende a demonstrar transparência, cooperação e boa-fé, fatores relevantes em eventual fiscalização. A demora injustificada, por outro lado, pode sujeitar a organização às sanções administrativas previstas na LGPD. 

7. Comunicação aos titulares

A comunicação aos titulares deve ser clara, acessível e útil. Não basta informar que “houve um incidente”. O titular precisa compreender o que aconteceu, quais dados podem ter sido afetados e quais medidas pode adotar para reduzir riscos.

Segundo a ANPD, a comunicação ao titular deve conter, ao menos:

  • descrição da natureza e categoria dos dados afetados;
  • medidas técnicas e de segurança utilizadas;
  • riscos relacionados ao incidente;
  • possíveis impactos aos titulares;
  • medidas adotadas ou a serem adotadas para mitigar efeitos;
  • data de conhecimento do incidente;
  • canal de contato para obtenção de informações;
  • dados do encarregado, quando aplicável.

A comunicação deve ocorrer, sempre que possível, de forma direta e individualizada, por meio como e-mail, SMS, carta, telefone ou canal usualmente utilizado pela empresa. 

A linguagem deve ser simples, mas não superficial. O erro mais comum é escrever uma comunicação excessivamente defensiva, vaga ou evasiva. Isso transmite insegurança e pode aumentar a desconfiança do titular.

8. Mitigação de danos: a resposta não termina na comunicação

Comunicar não é suficiente. A empresa deve demonstrar que adotou medidas concretas para conter, reverter ou reduzir os efeitos do incidente.

Dependendo do caso, as medidas podem incluir:

  • bloqueio ou redefinição de credenciais;
  • revogação de acessos;
  • isolamento de sistemas afetados;
  • restauração de backups íntegros;
  • correção de vulnerabilidades;
  • reforço de autenticação;
  • monitoramento de acessos suspeitos;
  • comunicação individualizada de recomendações aos titulares;
  • suporte a clientes afetados;
  • preservação de evidências;
  • abertura de investigação interna;
  • revisão de contratos com operadores;
  • atualização de políticas internas;
  • treinamento emergencial de colaboradores.

A ANPD pode determinar medidas adicionais de mitigação e, se a comunicação aos titulares for inadequada, pode exigir sua correção ou ampla divulgação. Também pode instaurar procedimento de apuração ou processo administrativo sancionador em determinadas hipóteses. 

9. Registro interno do incidente

Mesmo quando a empresa conclui que o incidente não precisa ser comunicado, essa decisão deve ser documentada. A ausência de comunicação não pode ser apenas uma escolha informal.

O registro interno deve conter:

  • data de conhecimento;
  • descrição do evento;
  • sistemas e bases afetadas;
  • dados envolvidos;
  • titulares potencialmente impactados;
  • análise de risco;
  • fundamentos da decisão de comunicar ou não comunicar;
  • medidas de contenção e mitigação;
  • responsáveis pela análise;
  • documentos e evidências utilizados.

A Resolução CD/ANPD nº 15/2024 prevê a obrigação de manter registro dos incidentes de segurança com dados pessoais por pelo menos cinco anos. 

Esse registro é essencial para demonstrar prestação de contas. Em eventual fiscalização, discussão contratual ou ação judicial, a pergunta central será: a empresa consegue provar que agiu de forma diligente?

10. Protocolo recomendado de resposta jurídica

Um protocolo eficiente pode seguir a seguinte estrutura:

Fase 1 — Identificação

Assim que houver suspeita de incidente, deve-se registrar a ocorrência, preservar evidências e acionar os responsáveis internos. A empresa deve evitar apagar logs, reinstalar sistemas ou alterar ambientes sem orientação técnica, pois isso pode comprometer a investigação.

Fase 2 — Contenção

A contenção busca impedir a ampliação do dano. Pode envolver bloqueio de acessos, isolamento de máquinas, suspensão temporária de sistemas, revogação de tokens, troca de senhas ou interrupção de integrações comprometidas.

Fase 3 — Análise jurídica e técnica

Nesta fase, devem ser respondidas perguntas essenciais:

  • houve confirmação do incidente?
  • há dados pessoais envolvidos?
  • quais dados foram afetados?
  • quem são os titulares?
  • há dados sensíveis, financeiros, de autenticação ou protegidos por sigilo?
  • há crianças, adolescentes ou idosos envolvidos?
  • o incidente é em larga escala?
  • há risco de fraude, dano moral, dano material ou roubo de identidade?
  • o incidente deve ser comunicado à ANPD?
  • o incidente deve ser comunicado aos titulares?

Fase 4 — Decisão regulatória

A decisão deve ser formalizada. Se houver comunicação, deve-se preparar manifestação técnica e jurídica consistente. Se não houver comunicação, deve-se registrar a justificativa com base nos critérios de risco.

Fase 5 — Comunicação

A comunicação à ANPD e aos titulares deve ser coordenada. As mensagens não podem ser contraditórias entre si. O conteúdo enviado ao titular deve ser mais didático; o conteúdo enviado à ANPD deve ser mais técnico e regulatório.

Fase 6 — Mitigação e acompanhamento

A empresa deve acompanhar os efeitos do incidente, responder dúvidas de titulares, monitorar riscos posteriores e documentar todas as providências tomadas.

Fase 7 — Pós-incidente

Encerrada a crise inicial, deve-se produzir relatório final, revisar falhas, atualizar políticas, renegociar cláusulas contratuais, treinar equipes e corrigir vulnerabilidades.

11. Conclusão

Em matéria de incidentes de dados, improviso é risco jurídico.

A empresa que só começa a pensar em comunicação, mitigação e resposta regulatória depois do incidente já está atrasada. A LGPD exige mais do que reação: exige governança, prevenção, segurança, transparência e capacidade de prestação de contas.

O protocolo antes do primeiro ataque não serve apenas para reduzir danos técnicos. Ele serve para proteger titulares, preservar evidências, organizar a comunicação, reduzir exposição regulatória e demonstrar diligência em eventual fiscalização ou litígio.

Em síntese: não basta responder ao incidente. É preciso conseguir provar que a resposta foi tempestiva, proporcional, documentada e juridicamente adequada.

Enfim…

Empresas que tratam dados pessoais devem revisar seus contratos, políticas internas e fluxos de resposta antes que o incidente aconteça. Em proteção de dados, a pior estratégia é descobrir quem decide, quem comunica e quem responde apenas depois da crise.