Vazamentos recentes expõem fragilidades estruturais e o relógio da ANPD começa a correr no instante da ciência.

O processo silencioso que ninguém vê

São 17h42 de uma terça-feira. A equipe de TI percebe, durante uma rotina de monitoramento, que um endpoint que deveria estar fechado respondeu a três requisições suspeitas. Um analista sênior abre o histórico de logs e descobre que, em algum momento das últimas semanas, dados pessoais saíram do perímetro. Ninguém sabe ao certo quando, quanto ou para quem.

A reação típica começa por e-mail. Alguém aciona o time jurídico. Outro alguém chama o Encarregado pelo Tratamento de Dados Pessoais. Um terceiro decide, por conta própria, “rodar uma análise rápida” sem documentar nada. O CISO entra no grupo de mensagens e pergunta o que aconteceu. A diretoria pede um briefing executivo “para ontem”. O time abre uma planilha em rede para tentar consolidar o que se sabe, mas cada pessoa preenche um campo e a versão de verdade some entre janelas do Excel.

Esse é o processo silencioso que ninguém vê. Não está em norma, não está em política aprovada, não está em playbook. Está acontecendo, naquele instante, em organizações com receita de milhões de reais e times maduros. E está acontecendo de um jeito que torna impossível, dali a 72 horas, responder com segurança às perguntas que a ANPD vai fazer. A pergunta não é se o incidente vai acontecer; é se a empresa vai conseguir narrá-lo de forma defensável quando ele acontecer.

O risco invisível: por que isso é mais grave do que parece

A confirmação pública, em maio de 2026, de um vazamento que afetou cerca de 2 milhões de registros em uma grande operação federal escancarou um ponto que muitos controladores ainda subestimam: o relógio da Autoridade Nacional de Proteção de Dados começa no momento da ciência, não no momento em que o time se organiza. A Resolução CD/ANPD nº 15, de 24 de abril de 2024, estabelece o prazo de três dias úteis para a comunicação do incidente à ANPD e aos titulares afetados, contado a partir da ciência pelo controlador. Para agentes de tratamento de pequeno porte o prazo dobra, mas isso não muda o ponto central: improviso não cabe nesse intervalo.

A LGPD reforça o quadro. O artigo 48 obriga o controlador a comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. O artigo 49 exige que os sistemas utilizados para tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e às demais normas regulamentares. O artigo 50, ao tratar de governança e accountability, exige que o controlador formule regras de boas práticas e demonstre, sempre que requerido, a adoção de medidas eficazes.

Some-se a isso a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que regulamenta a dosimetria e a aplicação das sanções administrativas. A gravidade da infração, a cooperação do infrator, a reincidência, o grau do dano e a adoção reiterada de mecanismos internos capazes de minimizar o impacto são critérios formais. Em outras palavras: a forma como a organização responde ao incidente é avaliada com o mesmo peso que o próprio incidente.

Há ainda o pano de fundo da fiscalização. A ANPD aprovou, por meio da Resolução CD/ANPD nº 30/2025, o Mapa de Temas Prioritários para o biênio 2026 a 2027, que prevê 75 atividades de fiscalização concentradas em quatro eixos, sendo 25 voltadas à proteção dos direitos dos titulares, com atenção especial a dados biométricos, de saúde e financeiros. A janela em que o controlador podia confiar na invisibilidade está se fechando.

Como o módulo Gestão de Incidentes do PROTEGON resolve

O módulo Gestão de Incidentes do PROTEGON foi desenhado para retirar a resposta a incidentes do território do improviso e colocá-la em um fluxo controlado, auditável e cronometrado. Ele converte aquela cena inicial de e-mails e planilhas em um processo único, com responsáveis nomeados, prazos visíveis e evidências preservadas.

Capacidades concretas do módulo:

• Registro padronizado do incidente, com captura estruturada de data e hora da ciência, natureza do dado afetado, volume estimado de titulares, vetor suspeito e medidas iniciais adotadas.
• Cronômetro regulatório embutido, que conta automaticamente os três dias úteis previstos na Resolução CD/ANPD nº 15/2024 e sinaliza, em tempo real, o tempo restante para a Comunicação de Incidente de Segurança (CIS), bem como os marcos de comunicação preliminar e suplementar.
• Workflow com papéis pré-definidos para Encarregado, jurídico, segurança da informação e diretoria, com aprovações registradas e responsabilidades nominais em cada etapa.
• Templates de CIS aderentes ao formulário disponibilizado pela ANPD, com campos espelhando o que será efetivamente perguntado, evitando retrabalho no momento da submissão.
• Base de evidências auditável, que preserva logs, decisões, comunicados a titulares e pareceres internos no mesmo dossiê, com carimbo de tempo e versionamento.
• Integração nativa com os módulos Gestão de Riscos e Gestão de Documentos do PROTEGON, permitindo conectar cada incidente a riscos previamente mapeados, controles existentes e políticas vigentes, demonstrando ao regulador que o caso não foi tratado isoladamente, mas dentro de uma cadeia de governança contínua.

A diferença prática é estrutural. Em vez de o controlador buscar, em três dias úteis, recompor uma narrativa que nunca foi escrita, a narrativa já existe. O módulo entrega o dossiê pronto para a conversa com a ANPD.

Resultados práticos: do caos para a previsibilidade

Organizações que adotam um fluxo estruturado de gestão de incidentes mudam a curva de exposição em três frentes simultâneas.

A primeira frente é o tempo de resposta. O que antes consumia dias de reuniões e versões de planilhas passa a acontecer em horas, porque o módulo já antecipa, na ficha de abertura, quais campos serão obrigatórios na CIS. Estima-se, de forma conservadora, que organizações com fluxo padronizado conseguem reduzir em mais de 60% o tempo entre a ciência e a comunicação formal à autoridade.

A segunda frente é a qualidade da resposta. Quando o cronômetro regulatório e o workflow operam juntos, decisões deixam de ser tomadas em paralelo por pessoas que não se falam. A comunicação ao titular é redigida com base em fatos consolidados, e o pedido de comunicação suplementar passa a ser exceção, não regra.

A terceira frente é a defensabilidade. No exame da dosimetria, a ANPD pondera a cooperação do controlador e a adoção de mecanismos internos. Uma trilha completa de evidências, com responsáveis nomeados, prazos cumpridos e medidas mitigadoras documentadas, é o que pesa do lado favorável da balança. Sem ela, a organização entra na fiscalização sem narrativa.

Há ainda um efeito menos visível, mas estratégico. À medida que cada incidente alimenta a base do PROTEGON, padrões começam a emergir: vetores recorrentes, áreas mais expostas, tipos de dado que escapam com mais frequência. Esse conhecimento operacional, capitalizado pelos módulos de Gestão de Riscos e Gestão de Documentos, deixa de ser folclore interno e vira insumo de melhoria contínua.

Próximo passo

Quantos dias úteis sua empresa levaria, hoje, entre o momento em que o time descobre um incidente e o instante em que a Comunicação de Incidente de Segurança é submetida à ANPD com fatos checados, papéis claros e evidências preservadas? E se a próxima fiscalização exigir, dentro do mesmo prazo, prova de que a resposta seguiu um processo, e não um esforço heroico de algumas pessoas? Conheça o módulo Gestão de Incidentes do PROTEGON e descubra como transformar a próxima notificação em uma demonstração, e não em uma vulnerabilidade