Vazamentos e incidentes de dados

Objetivos

Nesta aula você vai:

Identificar o que a LGPD considera incidente de segurança
Executar os primeiros passos após descobrir um vazamento
Documentar o ocorrido e decidir sobre comunicações obrigatórias

Conteúdo

Aviso educacional: este conteúdo tem finalidade informativa e não substitui orientação jurídica. Em incidentes graves, busque assessoria imediata.

O que é um incidente?

Incidente de segurança é qualquer evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais. Exemplos reais para pequenas empresas:

Planilha de clientes enviada para e-mail errado
Conta admin da loja invadida e pedidos exportados
Notebook roubado com arquivos de CPF e endereços
Ransomware que criptografou o banco de pedidos
Funcionário que postou print de conversa com dados de cliente em grupo

Nem todo incidente exige comunicação pública — mas todos devem ser registrados e analisados.

Primeiras 24 horas: roteiro de contenção

1. Pare o sangramento

Desative login comprometido, troque senhas e revogue tokens de API
Isole o equipamento infectado da rede
Se foi envio errado, peça ao destinatário que apague e confirme por escrito

2. Avalie o alcance

Quais dados vazaram? (nome, CPF, cartão, senha, histórico médico?)
Quantas pessoas afetadas?
Dados estavam criptografados ou em texto aberto?
Há evidência de uso malicioso (venda, fraude, publicação)?

3. Preserve evidências

Screenshots, logs de acesso, horários, IPs
Não apague logs na pressa — podem ser necessários para investigação e ANPD

4. Acione responsáveis

Sócio, TI de confiança, advogado, seguradora cyber (se tiver)
Defina uma pessoa única de comunicação interna para evitar versões conflitantes

Como registrar o incidente

Monte um registro de incidente — planilha ou documento simples:

Campo	Exemplo
Data/hora da descoberta	15/03/2026, 14h30
Data/hora provável do incidente	14/03/2026, noite
Descrição	Exportação não autorizada de 200 clientes
Dados afetados	Nome, e-mail, telefone, endereço
Quantidade de titulares	200
Causa provável	Phishing no e-mail do atendimento
Medidas de contenção	Senha trocada, 2FA ativado, IP bloqueado
Comunicações realizadas	E-mail aos titulares em 16/03
Lições aprendidas	Treinamento anti-phishing agendado

Guarde por pelo menos cinco anos — alinhado a prazos comuns de accountability.

Quando comunicar a ANPD e os titulares

A LGPD exige comunicação à ANPD e aos titulares quando o incidente puder causar risco ou dano relevante aos titulares.

Sinais de relevância:

Dados sensíveis (saúde, biometria, origem racial)
Dados financeiros que permitam fraude
Grand volume de titulares
Dados já expostos publicamente ou à venda
Impossibilidade de restaurar ou apagar rapidamente

Comunicação ao titular deve ser clara: o que aconteceu, quais dados, o que você fez, riscos e medidas que a pessoa pode tomar (trocar senha, monitorar extrato).

Prazo: a ANPD recomenda agilidade — idealmente em 72 horas úteis após confirmação do incidente relevante. Atraso sem justificativa agrava a situação.

Incidentes de baixo risco (ex.: envio interno corrigido em minutos, sem cópia retida) podem ser só registrados internamente — mas documente a análise de risco que levou a essa conclusão.

O que não fazer

Esconder o incidente esperando "passar"
Enviar comunicação genérica sem dizer quais dados vazaram
Prometer "nada aconteceu" sem investigação
Deletar evidências para "limpar"

Transparência controlada protege reputação a médio prazo.

Plano simples antes do problema

Escreva uma página com: quem lidera, contatos de emergência, modelo de e-mail ao titular, link do canal da ANPD. Revise anualmente. Pequenas empresas com plano reagem em horas, não em semanas.

Resumo

Incidente = comprometimento de confidencialidade, integridade ou disponibilidade de dados pessoais
Contenha, avalie alcance, preserve evidências e registre tudo
Comunique ANPD e titulares quando houver risco ou dano relevante
Documente análise de risco mesmo quando decidir não comunicar externamente
Tenha um plano de resposta escrito antes que o incidente aconteça