Escrito por Darlin Fernandes
A forma como as organizações respondem a uma violação de dados mudou profundamente com o fortalecimento da proteção de dados pessoais em todo o mundo — e com o amadurecimento da Lei Geral de Proteção de Dados (LGPD) no Brasil. Um incidente de segurança deixou de ser apenas uma questão técnica e passou a ter consequências legais, regulatórias, financeiras e reputacionais imediatas.
Nesse novo contexto, o papel do DPO (Data Protection Officer / Encarregado pelo Tratamento de Dados Pessoais) se torna estratégico desde o minuto zero em que a violação é identificada, orientando não apenas a tomada de decisão imediata, mas também a conformidade com as obrigações de notificação e comunicação previstas na legislação e nas diretrizes da Autoridade Nacional de Proteção de Dados (ANPD).
No Brasil, o custo médio de uma violação de dados já atingiu R$ 7,19 milhões em 2025, segundo o relatório Cost of a Data Breach da IBM – um aumento de 6,5% em relação a 2024, quando o custo médio foi de R$ 6,75 milhões.
Globalmente, o custo médio de uma violação de dados para as organizações ficou em US$ 4,44 milhões em 2025, refletindo tanto desafios quanto alguns ganhos em detecção e resposta acelerada.
Esses números reforçam que a eficácia da resposta a incidentes impacta diretamente o resultado financeiro e a continuidade dos negócios.
A responsabilidade do DPO no minuto zero da violação de dados
Quando uma violação de dados é detectada, a velocidade e qualidade da resposta são cruciais. O papel do DPO deixa de ser apenas de assessoramento para ser central na condução da resposta inicial, viabilizando que a organização atue de forma coordenada entre o técnico, jurídico e regulatório.
O DPO deve ser uma presença ativa desde o primeiro sinal de anomalia, ajudando a estruturar o processo de resposta, garantindo comunicação fluida entre as áreas e orientando decisões que impactem a conformidade com a LGPD e com diretrizes da ANPD.
Por isso, o minuto zero não é apenas uma questão de tempo — é uma questão de governança.
O canal de comunicação entre o TI e o Encarregado
Uma violação de dados não avisa. Ela é frequentemente identificada por alertas de monitoramento, ferramentas de detecção ou equipes de segurança. Assim que isso ocorre, a comunicação com o DPO precisa ser imediata.
Para que o DPO tenha informação relevante, o canal entre a área de tecnologia (TI / Segurança da Informação) e o encarregado precisa estar formalizado. Isso inclui:
- Procedimentos documentados de notificação interna;
- Critérios claros de escalonamento;
- Acesso a relatórios técnicos preliminares;
- Envolvimento em reuniões de avaliação rápida.
Sem esse canal, pode haver atraso na tomada de decisões estratégicas, que é justamente onde o tempo torna-se crítico para a adequação regulatória.
Um DPO que recebe informações fragmentadas ou fora de tempo corre o risco de tomar decisões imprecisas ou perder oportunidades de mitigar o impacto da violação.
Primeiras ações: preservação de provas e isolamento do incidente
No minuto zero, além da notificação interna, duas prioridades caminham lado a lado: contenção do incidente e preservação de evidências.
A equipe técnica deve atuar para:
- Isolar sistemas e segmentos impactados para impedir que a violação se agrave;
- Preservar logs e artefatos forenses que poderão ser essenciais para a investigação e, eventualmente, para a comunicação à ANPD;
- Documentar todas as ações imediatas, desde as evidências coletadas até as decisões tomadas por cada área envolvida.
O DPO, por sua vez, precisa garantir que essas medidas sejam compatíveis com a necessidade de manter rastreabilidade e evidências legais, sem comprometer a investigação.
Ao mesmo tempo, ele deve começar a estruturar o que será um dos elementos centrais na conformidade com a LGPD: a avaliação do risco ou dano potencial àqueles cujos dados podem ter sido afetados.
O processo de triagem: avaliando o risco e a natureza da violação
Nem toda violação de segurança é uma violação de dados pessoais obrigatória de ser notificada. A triagem é onde se distingue um incidente isolado de um evento que — de fato — envolve dados pessoais em risco. A avaliação deve ser rápida, criteriosa e bem documentada.
Identificando o volume e a sensibilidade dos dados comprometidos
O volume e a natureza dos dados impactados influenciam diretamente na avaliação do risco. É fundamental determinar:
- Quantos registros foram afetados?
- Qual a natureza desses dados (contato, financeiro, sensível etc.)?
- Os dados estavam protegidos por mecanismos de criptografia?
- A violação expôs informações que podem ser usadas para fraudes ou discriminação?
Dados sensíveis — como informações de saúde, biometria ou orientação religiosa — são tratados de forma mais restritiva pela LGPD e tendem a configurar risco mais severo, exigindo análise cuidadosa.
Esse processo não é apenas técnico. Ele deve ser coordenado entre segurança da informação, jurídico e o DPO para garantir que a avaliação do risco considere tanto os aspectos legais quanto os impactos concretos.
Avaliando o risco aos direitos e liberdades dos titulares
Segundo a LGPD, a comunicação à ANPD é necessária quando o incidente puder acarretar “risco ou dano relevante” aos direitos dos titulares. Isso envolve considerar se a violação pode resultar em:
- Fraude ou roubo de identidade;
- Danos à reputação;
- Perda financeira;
- Exclusão ou discriminação;
- Exposição pública de características pessoais.
A avaliação de risco deve envolver perguntas como:
- Pode esse uso indevido causar prejuízo significativo às pessoas?
- Os dados expostos permitem ações que comprometam a privacidade dos titulares?
- Existe probabilidade razoável de consumo indevido das informações?
Essa análise deve ser registrada detalhadamente, pois será a base para a decisão sobre a notificação.
Quando a notificação à ANPD é obrigatória?
A Resolução CD/ANPD nº 15/2024 define critérios para quando a comunicação de um incidente de segurança deve ser feita à Autoridade. Não se trata de comunicar todo evento, mas sim aqueles que apresentem risco ou dano relevante.
O entendimento de “risco ou dano relevante” é essencial para qualquer DPO que responde por conformidade regulatória.
Critérios de “Risco ou Dano Relevante” segundo a Resolução da ANPD
A Resolução da ANPD orienta que são fatores a ser considerados:
- Natureza dos dados afetados;
- Quantidade de titulares envolvidos;
- Medidas de segurança que estavam em vigor;
- Probabilidade de uso indevido dos dados.
A comunicação à ANPD precisa ser apoiada em análise objetiva e fundamentada em evidências, ou a empresa corre o risco de omissão indevida, que pode resultar em sanções.
Vale reforçar: nem todo incidente técnico exige notificação. A notificação é exigida quando há indício de que os direitos dos titulares podem ser impactados.
O que significa “prazo razoável” no Brasil?
Assim como o GDPR estabelece 72 horas para notificação à autoridade supervisora, a regulamentação da ANPD também define um prazo objetivo para comunicação de incidentes.
De acordo com o Art. 6º da Resolução CD/ANPD nº 15/2024, a comunicação de incidente de segurança à ANPD deve ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo específico previsto em legislação própria.
Na prática, isso significa que, uma vez confirmado o incidente e avaliado o risco aos titulares, a organização precisa estar preparada para cumprir um prazo regulatório definido, sem comprometer a qualidade da análise técnica e jurídica.
Isso exige:
- Planos de resposta a incidentes testados;
- Critérios definidos de priorização;
- Documentação prévia de processos;
- Decisões coordenadas entre DPO, jurídico e segurança.
Quanto mais maduro e estruturado estiver o programa de resposta a incidentes, maior será a capacidade da organização de cumprir o prazo regulatório com segurança, consistência e governança.
Elaborando a notificação de incidente de segurança
Uma vez definida a necessidade de comunicar, a notificação à ANPD segue um formato técnico e formal. Ela não precisa ser prolixa, mas precisa ser completa.
Elementos essenciais do comunicado à Autoridade Nacional
De acordo com as melhores práticas adotadas internacionalmente e alinhadas às orientações da ANPD, a notificação deve incluir:
- Descrição do incidente;
- Tipos de dados envolvidos;
- Número estimado de titulares afetados;
- Medidas corretivas e mitigadoras adotadas;
- Avaliação preliminar do risco aos direitos dos titulares.
Essa comunicação mostra que a empresa não apenas reconheceu o incidente, mas também agiu de forma estruturada para mitigar seus impactos.
Como comunicar os titulares de dados sem gerar pânico desnecessário
Se a violação afetou titulares e há potencial para uso indevido de seus dados, a comunicação aos titulares torna-se uma obrigação ética e regulatória. A mensagem deve equilibrar transparência e responsabilidade, explicando o ocorrido, sem alarmismo, e fornecendo orientações práticas de proteção, como:
- Monitoramento de crédito;
- Mudança de senhas;
- Adoção de autenticação multifator.
Comunicar titulares não é simplesmente enviar uma notificação. É cuidar da confiança que eles depositaram na organização.
O pós-incidente: relatório de lições aprendidas e revisão de processos
A resposta a um incidente não termina com a notificação ou a contenção. O pós-incidente é um momento de aprendizado institucional. Cada incidente deve gerar:
- Relação detalhada de causas e consequências;
- Avaliação da resposta (quanto tempo tomou? Onde houve falhas?);
- Atualização de políticas e planos de resposta;
- Testes de eficácia dos controles adicionados;
- Treinamento adicional das equipes.
Esse ciclo de melhoria contínua é o que garante que a organização evolua para um estado mais resiliente com cada experiência.
Um DPO que atua apenas na etapa de notificação perde a oportunidade de contribuir com melhorias de longo prazo. A função efetiva do DPO é impulsionar essa cultura de aprendizado e conformidade.
