Incidentes de segurança na LGPD: por que comunicar o incidente é apenas o começo da resposta à ANPD
Um ataque de ransomware criptografa o banco de dados da empresa.
A equipe de tecnologia atua para conter o incidente. Sistemas são isolados, acessos são bloqueados e começa a corrida para entender o que foi afetado.
Em paralelo, surge uma preocupação inevitável: existem dados pessoais envolvidos?
Confirmado o risco, a empresa realiza a comunicação à Agência Nacional de Proteção de Dados dentro do prazo. O Encarregado pelo tratamento de dados pessoais formaliza a notificação, reúne as informações disponíveis e envia a documentação.
Para muitas empresas, esse é o momento em que o problema parece resolvido.
O incidente foi contido. A comunicação foi realizada. A obrigação foi cumprida.
Mas, dias depois, chega um ofício.
A Agência solicita esclarecimentos adicionais, documentos técnicos, detalhamento da investigação e explicações sobre as medidas adotadas.
É nesse ponto que surge um problema que poucas empresas antecipam.
A comunicação do incidente não encerra a relação com a Agência Nacional de Proteção de Dados.
Na prática, ela marca o início da fase mais relevante da resposta regulatória.
O que muda depois que o incidentes de segurança é comunicado
Após a comunicação, a empresa passa a ser analisada sob uma nova perspectiva.
O foco deixa de ser apenas o incidente.
Passa a ser a forma como a empresa responde a ele.
A Agência busca entender:
- o que realmente aconteceu;
- quais dados foram afetados;
- qual o impacto para os titulares;
- como a empresa chegou às suas conclusões;
- quais medidas foram adotadas;
- o que mudou após o incidente.
Isso significa que a resposta não é um documento único.
É um processo.
Por que muitas empresas acreditam que já fizeram o suficiente
Na rotina empresarial, é comum tratar o incidente como um evento isolado.
A lógica costuma ser direta:
- houve um problema;
- ele foi contido;
- a comunicação foi feita;
- o tema é encerrado.
Esse raciocínio funciona para diversos tipos de ocorrência operacional.
Mas não se aplica da mesma forma aos incidentes envolvendo dados pessoais.
Porque, nesse contexto, não basta resolver o problema.
É necessário demonstrar como ele foi compreendido, tratado e documentado.
O ponto que quase ninguém explica
Muitas empresas acreditam que o principal risco está em não comunicar o incidente.
Na prática, existe outro risco, menos visível.
Responder ao incidente sem conseguir sustentar tecnicamente as informações apresentadas.
Mesmo quando a comunicação é realizada dentro do prazo e acompanhada de informações consideradas completas pela própria empresa, não significa que a análise será encerrada naquele momento.
A Agência pode aprofundar a avaliação, solicitar novas evidências e comparar as informações apresentadas ao longo do tempo.
Se os dados mudam, não são comprovados ou não estão organizados, isso pode impactar diretamente a forma como o caso será interpretado pela Agência.
O erro mais comum na resposta ao incidente
Diante da atuação da Agência, muitas empresas adotam uma postura defensiva.
A resposta passa a se concentrar em argumentos como:
- não houve falha relevante;
- não houve dano significativo;
- o incidente não teve impacto relevante.
Esses pontos podem ser válidos.
Mas, isoladamente, não são suficientes.
A Agência não analisa apenas o resultado.
Ela analisa o processo.
Ou seja, como a empresa investigou, documentou e tratou o incidente.
Na prática, isso significa que a empresa pode estar respondendo à Agência Nacional de Proteção de Dados sem apresentar justamente o que será analisado.
O que realmente está sendo avaliado
Ao longo da interação, a Agência passa a observar elementos como:
- consistência das informações apresentadas;
- capacidade de demonstrar como as conclusões foram alcançadas;
- existência de registros e evidências;
- evolução das medidas adotadas;
- organização das respostas ao longo do tempo.
Isso explica por que duas empresas podem ter incidentes semelhantes e resultados regulatórios diferentes.
A diferença não está apenas no incidente.
Está na forma como cada uma respondeu a ele.
A comunicação como processo contínuo
A comunicação com a Agência Nacional de Proteção de Dados não se encerra com o envio da notificação inicial.
Ela se desenvolve ao longo de interações sucessivas.
Após a primeira comunicação, é comum que a Agência solicite:
- complementação de informações;
- documentos adicionais;
- esclarecimentos técnicos;
- detalhamento da investigação.
Esse fluxo pode se estender além do esperado. Durante esse período, a empresa precisa demonstrar evolução.
Não apenas repetir informações.
Ao longo da comunicação, a Agência passa a comparar as respostas apresentadas.
Alterações sem justificativa ou sem suporte técnico podem comprometer a credibilidade das informações já prestadas.
Onde surgem as maiores dificuldades
Na prática, poucas empresas possuem estrutura para lidar com esse tipo de demanda.
É comum encontrar cenários em que:
- a área de tecnologia possui parte das informações;
- o jurídico possui outra parte;
- fornecedores detêm dados relevantes;
- não existe um registro consolidado do incidente.
Isso gera um problema crítico.
A empresa até possui informações.
Mas não consegue organizá-las de forma consistente.
E, sem consistência, a resposta perde força.
Quando faz sentido buscar apoio especializado
Esse tipo de situação costuma gerar dúvidas operacionais importantes.
A empresa está respondendo corretamente?
As informações apresentadas são suficientes?
Existe risco de interpretação equivocada?
As respostas estão consistentes ao longo do tempo?
Se sua empresa ainda não passou ou está passando por um incidente,
uma conversa pode ajudar a estruturar a forma de resposta e reduzir riscos regulatórios.
O papel da governança nesse cenário
Quando existe um processo estruturado de governança, a resposta ao incidente deixa de ser improvisada.
A empresa passa a atuar com base em um fluxo definido:
- identificação do incidente;
- registro das informações;
- avaliação de riscos;
- definição de medidas;
- documentação padronizada;
- comunicação estruturada.
Isso facilita a interação com a Agência e reduz o risco de inconsistências.
Além disso, permite demonstrar evolução ao longo do tempo.
Como o Encarregado pelo Tratamento de Dados Pessoais contribui
O Encarregado (DPO) atua como elemento de conexão nesse processo.
Sua função não se limita à comunicação formal e não se inicia no momento do incidente.
Ele acompanha a empresa antes, durante e depois do ciclo do incidente.
Na prática, isso significa:
- orientar as áreas envolvidas;
- organizar as informações produzidas;
- garantir consistência nas respostas;
- atuar como canal de comunicação com a Agência;
- acompanhar a evolução das medidas adotadas.
Quando essa atuação é contínua, a empresa reduz o risco de respostas fragmentadas.
E passa a sustentar tecnicamente a sua posição ao longo de toda a interação regulatória.
A atuação de um Encarregado externo permite estruturar esse processo de forma contínua, reduzindo inconsistências e melhorando a qualidade das respostas à Agência.
A resposta ao incidente define como a empresa será avaliada pela ANPD
Incidentes de segurança não devem ser tratados apenas como eventos isolados.
A partir da comunicação, a empresa passa a ser avaliada pela forma como conduz a resposta.
Mesmo quando o incidente é comunicado corretamente, isso não significa que o processo será encerrado.
A análise continua.
E, ao longo dela, a Agência busca entender se a empresa:
- compreendeu o que aconteceu;
- conseguiu demonstrar suas conclusões;
- adotou medidas efetivas;
- evoluiu sua forma de tratar dados pessoais.
Na prática, o incidente pode durar algumas horas.
A resposta regulatória pode se estender por meses ou até anos, dependendo da complexidade do caso e da forma como a empresa conduz a comunicação.
E é nesse período que se define o nível de exposição da empresa.
Mais do que evitar sanções, o ponto central está na capacidade de demonstrar controle, organização e evolução.
É isso que diferencia empresas que apenas reagem a problemas daquelas que operam com governança estruturada e conseguem sustentar tecnicamente suas decisões diante da Agência Nacional de Proteção de Dados.
Para saber mais sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) acesse:
> Nossos artigos sobre a LGPD clicando aqui;
> O perfil da Dra. Kariny Antunes Farina no Instagram;
> A Lei Geral de Proteção de Dados Pessoais na íntegra no site gov.br;
> A Agência Nacional de Proteção de Dados Pessoais.
Ao clicar no link do Instagram e no link do site gov.br abrirá uma nova janela em seu navegador.
