Por Cathiani Bellé* – A Resolução nº 15, de 24 de abril de 2024, da Autoridade Nacional de Proteção de Dados (ANPD), tem como objetivo regulamentar as tratativas relativas à comunicação de incidentes de segurança envolvendo dados pessoais. Alinhada às disposições da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018), especialmente ao que se refere aos critérios mínimos para a implementação adequada de um Programa de Governança em Privacidade (art. 50, §2º, I, “g”, LGPD) e ao dever de comunicar a ocorrência de incidentes de segurança (art. 48, LGPD), a Resolução detalha as exigências para a estruturação de um plano de gerenciamento de incidentes, contemplando medidas de registro, resposta, remediação e comunicação.
O incidente de segurança é definido como qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais (art. 3º, XII, Resolução CD/ANPD nº 15/2024). Nesse sentido, um dos aspectos que devem ser considerados na elaboração de um plano de gerenciamento de incidentes é a forma como a organização realiza o monitoramento e registro desses eventos. Sob essa perspectiva, é importante destacar a importância da iniciativa adotada pela ANPD para a divulgação de dados agregados sobre Comunicações de Incidentes de Segurança (CIS), publicada em junho de 2025, em seu site oficial.
Os painéis interativos, desenvolvidos pela Coordenação de Tratamento de Incidentes de Segurança da Coordenação-Geral de Fiscalização, permitem a organização e categorização de informações relacionadas a incidentes de segurança. Nesse contexto, evidencia-se a relevância do uso de ferramentas de análise e visualização interativa de dados para compilar e transformar informações em dashboards que permitam a visualização e o acompanhamento de indicadores, contribuindo para o monitoramento eficaz e a tomada de decisões assertivas.
Conforme a norma ISO/IEC 27035-1 – Tecnologia da Informação – Gestão de Incidentes de Segurança da Informação – Parte 1: Princípios e Processo, o tratamento de um incidente é definido como o conjunto de “ações de detectar, relatar, avaliar, responder, lidar e aprender com um incidente de segurança” (item 3.1.8). Desse modo, uma das iniciativas fundamentais em uma organização deve estar alinhada ao report adequado dos incidentes, pois, por mais simples que possa parecer, a compilação de dados para garantir um gerenciamento eficaz de incidentes exige refinamentos internos, começando pelo próprio meio pelo qual o incidente é registrado.
A depender do porte e da área de atuação da organização, um incidente pode ser detectado em ambientes digitais, mas também pode ser relatado por meios físicos, como formulários impressos, registros manuais ou comunicação verbal.
Assim sendo, é preciso verificar se o incidente foi detectado em sistemas corporativos, bancos de dados, pastas de diretórios, plataformas de comunicação, entre outros; ou se foi relatado por meio de um documento impresso. Para que seja possível mapear todos os incidentes em uma organização é necessário compreender que um incidente não se limita a tentativas de ataques por cibercriminosos, ele também pode ocorrer, por exemplo, no extravio de fichas de clientes.
Conforme disposto no art. 1º da Lei Geral de Proteção de Dados, a lei regula o tratamento de dados pessoais, inclusive nos meios digitais, o que significa que abrange tanto o ambiente digital quanto o físico. Dessa forma, é fundamental definir em qual ambiente serão organizados os dados relativos aos incidentes de segurança envolvendo dados pessoais, objetivando garantir que os números reflitam fielmente os fatos.
Para tanto, é importante estabelecer uma distinção clara entre ambientes de registros digitais e físicos, permitindo que a organização defina se irá tratá-los de forma separada ou conjunta, compilando os dados em um único dashboard ou em vários, tendo como objetivo identificar em qual dos ambientes deve concentrar maiores esforços.
Outro aspecto que merece ser observado, em consonância com a lógica do primeiro, é a definição de qual área será responsável por executar o tratamento do incidente. Em muitos casos, a área de Segurança da Informação é encarregada do monitoramento dos ambientes digitais; a Ouvidoria, do registro e acompanhamento de denúncias relacionadas à organização; o setor de Recursos Humanos, da avaliação de fichas ou ocorrências envolvendo desvios de conduta entre colaboradores; e a Gestão da Qualidade, das notificações relacionadas à quebra de processos e não conformidades. Em interface com essas áreas, a área de Proteção de Dados Pessoais recebe os registros e conduz as tratativas em conjunto com os setores competentes ou acompanha a atuação de cada área até a resolução do incidente.
Todavia, é fundamental haver um alinhamento claro quanto à responsabilidade pela consolidação e apresentação das informações relativas ao tratamento do incidente. Muitas vezes, os aspectos relacionados à resolução e ao aprendizado organizacional acabam diluídos devido à fragmentação de competências, o que compromete a elaboração de planos de ação eficazes e o processo de melhoria contínua.
Como adverte Jule Hintzbergen, “o propósito desse processo de gerenciamento de incidente é ganhar conhecimento sobre os incidentes e aprender lições com eles para o futuro” (2018, p. 157). Assim, quando a organização consegue acompanhar o número de incidentes, mas não define claramente quem será o responsável por seu tratamento, dados valiosos sobre as ações executadas e as lições aprendidas podem se perder, especialmente devido a conflitos de interesse ou à inércia da área responsável pela apresentação das informações.
Segundo o Guia de Resposta a Incidentes de Segurança do Governo Digital, a capacidade de avaliação interna do incidente consiste em um dos procedimentos específicos que devem ser conduzidos pelo agente de tratamento — ou seja, o controlador e o operador, conforme o art. 5º, inciso IX, da LGPD —, para que as devidas comunicações sejam executadas, especialmente quando o incidente acarretar risco ou dano relevante aos titulares (art. 5º da Resolução CD/ANPD nº 15/2024).
Os dois pontos explorados acima dialogam diretamente com os critérios de avaliação definidos no Guia do Governo Digital, a saber: qual a vulnerabilidade; fonte dos dados pessoais; categoria dos dados pessoais; extensão do vazamento; avaliação do impacto ao titular; e avaliação do impacto no serviço (2024, p. 18–19). A compilação desses dados em um ambiente devidamente definido e organizado, acrescida de uma sistematização interna de critérios voltada ao acompanhamento assertivo das informações, permite que a organização compreenda, por exemplo, o número de incidentes ocorridos, os tipos mais recorrentes, os dados pessoais afetados, quais incidentes são categorizados como de risco relevante, entre outros.
Além disso, a apresentação desses dados de forma interativa possibilita à organização compreender quais medidas de remediação estão sendo aplicadas, quais áreas apresentam maior vulnerabilidade e quais ações de segurança devem ser priorizadas, mantendo, assim, atividades de forma consistente e eficaz para um adequado gerenciamento de incidentes de segurança envolvendo dados pessoais.
O Guia do Framework de Privacidade e Segurança da Informação, do Governo Digital, destaca que, por meio do planejamento e da organização de indicadores, é possível demonstrar o nível de maturidade da organização em relação aos controles de segurança e privacidade aplicados. Aspecto este que evidencia não apenas a capacidade de gerenciar incidentes de segurança, mas também manter a conformidade com as legislações vigentes.
*Cathiani Bellé, Encarregada de Dados (DPO) e Membra da Comissão de Governança e Compliance do Instituto Nacional de Proteção de Dados, Doutora e Mestra em Ética, Especialista em Direito Digital, Proteção de Dados e LGPD
