Quando o dado pessoal vaza

Nenhuma organização quer passar por um incidente de privacidade. Mas as que estão melhor preparadas são as que conseguem mitigar os danos com mais eficiência quando ele acontece e a diferença entre uma resposta eficaz e uma crise devastadora costuma estar nos processos construídos antes do incidente, não durante.

A LGPD, no artigo 48, obriga o controlador a comunicar à ANPD e ao titular qualquer incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15/2024 trouxe critérios mais claros sobre o que constitui esse risco, os prazos de notificação e o conteúdo mínimo da comunicação, tornando o plano de resposta não apenas uma boa prática, mas uma exigência regulatória concreta.

Na prática, um plano de resposta a incidentes precisa responder a perguntas básicas antes que o incidente ocorra: quem fica responsável pela coordenação? Quais são os critérios para avaliar a gravidade e a relevância do risco ao titular? Qual é o prazo interno de análise antes da notificação à ANPD? Quem deve ser comunicado internamente?

Atuando diariamente com o tema, vejo de perto como essa integração entre privacidade e segurança da informação é indispensável e muitas vezes subestimada. Um incidente de segurança pode ou não gerar um incidente de privacidade, e essa avaliação precisa ser feita com critério técnico e jurídico.

Registrar e analisar os incidentes ao longo do tempo também é fundamental, e não apenas para fins de conformidade. Os padrões que emergem nesses registros revelam vulnerabilidades sistêmicas, falhas de processo, gaps de treinamento, terceiros com controles insuficientes, que precisam ser endereçadas de forma estruturada.

Preparação não é burocracia. É o que diferencia uma resposta controlada de uma exposição desnecessária.

Postagens mais recentes

{{ posts|limit:5 }}