ValorFinal
Entrar

Módulo 7 - Incidentes, fornecedores e terceiros

O que é um incidente e o que fazer na hora

14 min de leitura · por Cesar Gargiulo, revisado pela equipe ValorFinal e GuardiaSec · Atualizado em 27/06/2026

Velocidade

O que você vai aprender

  • Reconhecer o que é um incidente de segurança com dados pessoais.
  • Identificar os incidentes mais comuns no dia a dia de trabalho.
  • Saber os primeiros passos certos quando algo dá errado.
  • Entender quem avisar e por que o tempo conta tanto.

O que conta como incidente

A palavra incidente assusta mais do que deveria. Muita gente imagina um hacker invadindo o sistema no meio da noite, e às vezes é isso mesmo. Só que, no dia a dia de uma empresa, o incidente costuma ser bem mais banal. É a planilha de clientes enviada para o endereço errado. É o notebook esquecido no banco do carro. É a conta de um colega que continuou ativa depois que ele saiu. Coisas comuns, que acontecem com gente honesta e atenta.

Para a LGPD, o que define um incidente não é a intenção de quem causou, e sim o resultado: um dado pessoal acabou exposto, perdido ou alterado sem autorização. Não importa se foi um descuido de dois segundos ou um ataque planejado. Se um dado que deveria estar protegido ficou ao alcance de quem não tem nada com aquilo, houve um incidente, e ele precisa ser tratado.

Dado pessoal
Qualquer informação que identifique uma pessoa ou permita chegar até ela: nome, CPF, e-mail, telefone, endereço, foto, dados de saúde, entre outros.

Entender isso muda a sua postura. Quando você para de achar que incidente é só coisa de filme e percebe que ele cabe num clique errado, fica muito mais fácil reconhecer um na hora em que ele acontece. E reconhecer rápido é metade do trabalho, porque a outra metade é avisar a pessoa certa antes que o problema cresça.

Os incidentes mais comuns no trabalho

A maioria dos incidentes não vem de uma falha técnica complicada. Vem de situações que você reconhece de cara, porque já viu acontecer ou quase fez você mesmo. Conhecer essa lista ajuda a baixar a guarda na hora errada e a levantar a guarda na hora certa.

  • E-mail enviado para a pessoa errada, ou com um anexo que não era para aquele destinatário.
  • Perda ou roubo de notebook, celular ou pen drive com dados de clientes.
  • Planilha ou documento com dados pessoais que acaba publicado ou compartilhado por engano.
  • Acesso indevido a uma conta, seja por senha vazada, seja por um login que continuou ativo.
  • Conversa por aplicativo em que dados sensíveis são mandados para um grupo aberto.

Repare que nenhum desses exemplos exige tecnologia avançada para acontecer. Eles acontecem com pressa, com cansaço no fim do expediente, com várias abas abertas. Por isso a defesa não é só técnica, é de comportamento. Conferir o destinatário antes de enviar, bloquear a tela ao levantar da mesa, não mandar dado sensível por aplicativo pessoal. São hábitos pequenos que evitam a maior parte dos sustos.

O que fazer nos primeiros minutos

Quando o erro acontece, a reação natural é o pânico, e o pânico empurra para a pior decisão de todas: tentar esconder. Resista a isso. Um incidente comunicado rápido é um problema que a empresa consegue tratar. Um incidente escondido vira uma bola de neve que estoura mais tarde, em geral pior e na frente de mais gente.

  1. Mantenha a calma e não tente consertar sozinho apagando rastros ou deletando mensagens.
  2. Registre o que aconteceu: o que foi exposto, para quem, a que horas, em que sistema.
  3. Avise o responsável pela LGPD na empresa o quanto antes, mesmo que pareça pequeno.
  4. Siga a orientação que ele passar, sem tomar atitudes por conta própria.
  5. Anote também o que você já tentou fazer, para não confundir quem for tratar o caso.

O ponto sobre não apagar rastro merece atenção. Pode parecer que sumir com a prova ajuda, mas é o contrário. Quem vai tratar o incidente precisa entender exatamente o que houve para medir o tamanho do estrago e decidir os próximos passos. Apagar informação cega a empresa justamente quando ela mais precisa enxergar. Além disso, esconder um incidente costuma ser visto como falta mais grave do que o erro original.

Teste rápido

Você percebeu que enviou uma planilha de clientes para o destinatário errado. Qual é a melhor primeira atitude?

Quem avisar e por que o tempo importa

A pergunta que trava muita gente é simples: avisar quem? A resposta também é simples. Avise quem na sua empresa cuida de proteção de dados. Em algumas empresas é uma pessoa com o título de encarregado, em outras é o setor de segurança da informação, o jurídico ou a chefia direta. O que importa é que exista um canal, e que você o use sem rodeio. Se você não sabe quem é, pergunte hoje, antes de precisar.

Encarregado (DPO)
A pessoa indicada pela empresa para cuidar da proteção de dados e ser o contato com a ANPD e com os titulares. É um dos caminhos certos para comunicar um incidente.

Agora, por que tanta pressa? Porque a LGPD prevê que, dependendo do risco que o incidente traz para as pessoas, a empresa precise comunicar a ANPD e os próprios titulares afetados, e isso tem prazo. A ANPD orienta que essa comunicação seja feita em prazo curto depois que a empresa toma conhecimento. Quanto mais cedo você avisa internamente, mais tempo a empresa tem para avaliar e cumprir esse prazo com tranquilidade. Cada hora que você segura a informação é uma hora a menos para quem precisa decidir.

A ANPD mantém orientação específica sobre como e quando comunicar um incidente de segurança com dados pessoais, inclusive sobre prazos. (ANPD - Comunicação de incidente de segurança)

Vale guardar uma ideia: a decisão de comunicar a ANPD não é sua, e nem precisa ser. Quem mede o risco e decide isso é o responsável pela LGPD na empresa, com base no que você relatou. O seu papel é ser o sino que toca rápido e com informação honesta. Você avisa, descreve o que sabe e deixa a avaliação técnica e jurídica com quem tem essa função. Esse desenho protege você e protege a empresa.

Perguntas frequentes

Mandei um e-mail para a pessoa errada. Isso é mesmo um incidente?
Sim, se o e-mail tinha dados pessoais. O que define o incidente é o dado ter ficado com quem não deveria, não a intenção. Registre o ocorrido e avise o responsável pela LGPD na empresa o quanto antes.
Foi sem querer e foi pequeno. Preciso avisar mesmo assim?
Precisa. Quem mede a gravidade é o responsável pela LGPD, com base no que você relatar. O seu papel é avisar rápido. Deixar de comunicar um incidente costuma ser pior do que o erro que o causou.
Posso tentar resolver sozinho antes de contar para alguém?
Não é recomendado. Apagar mensagens, deletar arquivos ou avisar clientes por conta própria pode atrapalhar o tratamento do caso. Registre o que houve, avise o responsável e siga a orientação dele.
Por que o tempo é tão importante num incidente?
Porque a empresa pode ter de comunicar a ANPD e os titulares afetados em prazo curto. Quanto antes você avisa internamente, mais tempo a empresa tem para avaliar o risco e cumprir esse prazo com calma.
Quem eu devo procurar na empresa quando acontece um incidente?
A pessoa ou setor que cuida de proteção de dados: o encarregado, a segurança da informação, o jurídico ou a sua chefia, conforme a estrutura da empresa. Se você não sabe quem é, descubra antes de precisar.
Sou eu quem decide se a ANPD precisa ser avisada?
Não. Essa decisão é do responsável pela LGPD na empresa, que avalia o risco do incidente. Você relata o que sabe de forma honesta e deixa a avaliação técnica e jurídica com quem tem essa função.

Fontes

Seu progresso fica salvo neste aparelho. Assinantes sincronizam entre os aparelhos.

← Computador pessoal, Wi-Fi público e backup Concluir e avançar →