- Incidentes que possam acarretar risco relevante a titulares de dados devem ser notificados à ANPD em 72 horas (Art. 48 + Resolução CD/ANPD nº 15/2024)
- A notificação exige informações específicas: data do incidente, natureza dos dados afetados, número estimado de titulares e medidas adotadas
- Nem todo incidente de segurança envolve dados pessoais — a primeira etapa é confirmar se houve acesso, modificação ou extração de dados de pessoas naturais
- Titulares afetados também devem ser comunicados quando o incidente representa risco alto, em paralelo com a notificação à ANPD
- A ANPD verifica a existência de um plano de resposta a incidentes em todas as fiscalizações proativas, e sua ausência é tratada como infração ao Art. 46
Por que as primeiras horas definem o resultado
A contenção precoce limita o volume de dados expostos. Em ataques de ransomware, cada hora sem isolamento aumenta o número de sistemas cifrados e o custo de recuperação. Em acessos não autorizados a bases de dados, cada hora adicional expande o escopo do que precisa ser reportado à ANPD.
A resposta sem um plano produz erros custosos: sistemas reinicializados antes de preservar logs forenses, backups sobrescritos durante a recuperação, comunicações enviadas pelo canal corporativo já comprometido. Esses erros dificultam a investigação e podem ampliar a exposição regulatória.
Do ponto de vista da ANPD, uma resposta documentada e proporcional ao risco demonstra comprometimento com o Art. 46, que exige medidas de segurança adequadas ao perfil de risco do tratamento. Uma resposta desorganizada ou tardia agrava a avaliação da infração. Empresas que chegam à ANPD com um relatório de incidente estruturado, logs preservados e um plano de ação documentado saem do processo com resultado diferente de empresas que chegam sem nenhum desses elementos.
O que qualifica como incidente notificável
Nem todo evento de segurança gera obrigação de notificação. O Art. 48 da LGPD aplica-se a incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados. A Resolução CD/ANPD nº 15/2024 detalhou os critérios de classificação de risco.
O ponto de partida é determinar se houve comprometimento de dados pessoais. Um ataque de DDoS que torna o site indisponível por horas não envolve dados pessoais e não gera obrigação de notificação. Um acesso não autorizado ao banco de dados de clientes, um e-mail com lista de CPFs enviado para destinatário errado, ou um notebook corporativo perdido com dados de funcionários, esses casos provavelmente sim.
Depois de confirmar que dados pessoais estão envolvidos, classifique o risco para os titulares. Os critérios relevantes incluem:
- Natureza dos dados afetados: dados sensíveis (saúde, biometria, dados de crianças) elevam o risco automaticamente
- Volume de titulares afetados: incidentes em larga escala recebem classificação mais alta
- Possibilidade de uso indevido: se os dados permitem fraude financeira, roubo de identidade ou discriminação, o risco é alto
- Reversibilidade: dados já publicados ou vendidos na dark web têm impacto irreversível
Na dúvida, notifique. A Resolução nº 15/2024 permite que a notificação inicial seja enviada com as informações disponíveis, com complemento posterior. Uma notificação incompleta enviada dentro de 72 horas é tratada de forma mais favorável pela ANPD do que uma notificação completa enviada com atraso.
As seis fases de resposta a incidentes
Um plano de resposta estruturado divide o trabalho em fases sequenciais. Pular fases ou executá-las fora de ordem é o erro mais comum em respostas ad hoc.
1. Preparação
Tudo que precisa estar pronto antes de um incidente acontecer: o plano de resposta documentado, a equipe designada com contatos de emergência atualizados, os playbooks para os cenários mais prováveis (ransomware, acesso não autorizado, vazamento por terceiro), e os acessos administrativos necessários para contenção. Sem preparação, as fases seguintes dependem de decisões tomadas sob pressão, sem referência.
O plano também deve incluir os critérios para acionar o encarregado de dados (DPO), o jurídico e a alta gestão, e o processo para avaliação de notificação à ANPD. A Cyvra apoia equipes de TI no Brasil na elaboração e teste desses planos.
2. Identificação
Detectar e confirmar o incidente. Isso inclui determinar: o que aconteceu exatamente, quando começou, quais sistemas estão afetados, se dados pessoais foram acessados ou exfiltrados, e se o atacante ainda está ativo na rede. Preserve todos os logs antes de qualquer ação de contenção. Logs sobrescritos ou sistemas reinicializados sem captura de evidências comprometem a investigação forense e a capacidade de reportar o incidente com precisão à ANPD.
3. Contenção
Isole os sistemas afetados para interromper a propagação. A contenção pode ser imediata (desconectar um servidor da rede) ou de curto prazo (revogar credenciais comprometidas, bloquear endereços IP). Documente cada ação com timestamp. A contenção não é recuperação: o objetivo aqui é parar o dano, não restaurar o serviço. Restaurar antes de conter é um erro frequente que permite reinfecção.
4. Erradicação
Remova a causa raiz do incidente: o malware, a credencial comprometida, a vulnerabilidade explorada. Confirme que o atacante não mantém acesso persistente antes de prosseguir para a recuperação. Em casos de ransomware, isso significa limpar os sistemas afetados antes de restaurar backups. Restaurar a partir de um backup sem erradicar o vetor de ataque resulta em reinfecção imediata.
5. Recuperação
Restaure os sistemas a partir de backups verificados como limpos, reimplante configurações e monitore ativamente nos dias seguintes para detectar sinais de reativação. Valide que os sistemas restaurados estão operacionais e que os dados recuperados estão íntegros antes de retornar à operação normal.
6. Análise pós-incidente
Documente o que aconteceu, o que funcionou no plano, o que falhou e o que precisa ser corrigido. Essa análise alimenta a atualização do plano de resposta e das medidas de segurança preventivas. A ANPD pode solicitar esse relatório em processos de fiscalização. Empresas que não documentam incidentes passados têm dificuldade em demonstrar que adotam medidas de melhoria contínua conforme exigido pelo Art. 46.
Restaurar antes de conter é o erro mais caro na resposta a incidentes. Cada reinicialização apressada apaga evidências e pode reativar o que você ainda não removeu.
O que incluir na notificação à ANPD
A Resolução CD/ANPD nº 15/2024 define os campos obrigatórios da notificação. A ANPD disponibiliza um formulário eletrônico para o envio, que pode ser preenchido com as informações conhecidas no momento e complementado posteriormente.
Além da notificação à ANPD, avalie se os titulares afetados precisam ser comunicados diretamente. O Art. 48, §1º prevê essa comunicação quando o incidente puder acarretar risco ou dano relevante. Em incidentes que envolvam dados financeiros, dados de saúde ou dados de crianças, notifique os titulares em paralelo com a ANPD, sem aguardar a conclusão do processo regulatório.
Como estruturar seu plano antes de precisar dele
Um plano de resposta a incidentes não precisa ser um documento de 50 páginas. Para a maioria das empresas de médio porte no Brasil, um plano funcional cobre seis elementos.
1. Defina a equipe e os contatos de emergência
Liste quem é responsável por cada fase: quem declara o incidente, quem coordena a contenção, quem aciona o encarregado de dados, quem comunica com a ANPD, quem faz a comunicação externa. Inclua números de celular pessoal — o canal corporativo pode estar comprometido. Mantenha a lista atualizada a cada mudança de equipe.
2. Documente os critérios para notificação à ANPD
Defina internamente quando um incidente exige notificação obrigatória. Os critérios da Resolução nº 15/2024 são o ponto de partida, mas traduza-os para os tipos de dados que sua empresa trata. Um hospital tem critérios diferentes de uma loja de e-commerce. Ter isso definido antes do incidente evita decisões erradas sob pressão.
3. Crie playbooks para os cenários mais prováveis
Ransomware, acesso não autorizado a banco de dados, perda de dispositivo com dados e vazamento por fornecedor são os quatro cenários mais comuns. Cada playbook deve cobrir os primeiros passos de contenção, os logs a preservar, quem acionar e o prazo para a avaliação inicial de notificação.
4. Estabeleça o processo de preservação de evidências
Defina que nenhum sistema afetado é reinicializado ou formatado antes da captura de logs. Inclua instruções simples para membros da equipe sem formação técnica: tirar screenshots de mensagens de erro, não desligar máquinas afetadas antes da instrução da equipe de segurança, não acessar sistemas comprometidos pelo canal corporativo.
5. Teste o plano ao menos uma vez por ano
Um plano não testado é uma lista de boas intenções. Realize ao menos um exercício tabletop por ano: simule um incidente de ransomware ou vazamento de dados e percorra as fases com a equipe. O exercício revela lacunas nos contatos, nos acessos e nas responsabilidades que não aparecem na leitura do documento.
6. Revise o plano após cada incidente real
Todo incidente, mesmo menor, gera aprendizados. Documente o que funcionou, o que falhou e o que mudou na configuração da empresa desde o último teste. A ANPD considera a evidência de melhoria contínua como fator positivo na avaliação de comprometimento com o Art. 46.
Nossa equipe desenvolve planos de resposta a incidentes adaptados ao perfil de risco de cada organização, conduz exercícios tabletop e apoia a estruturação do processo de notificação à ANPD. Se sua empresa já está gerenciando um incidente ativo, entre em contato imediatamente. Fale com nossa equipe.