Como não notificar titulares sobre vazamento de dados

Por

Recentemente publiquei na minha lista de e-mails o texto “Como não notificar titulares sobre vazamento de dados”.

Atendendo a pedidos, divulgo o texto publicamente, esperando que ele faça sentido e clarifique algumas coisas essenciais na área de proteção de dados.

Quer se inscrever na minha lista de e-mails? Clique aqui: https://newsletter.servicosdataux.eu/subscription/form.

Bom dia, boa tarde, boa noite!

Espero que você esteja bem – e que sua gestão de incidentes esteja ainda melhor do que o último caso que caiu na minha caixa de entrada.

Na análise de uma notificação real que recebi recentemente, encontrei um “catálogo de horrores” que vale ouro pedagógico. Em vez de citar nomes (não é expose, é aprendizado!), resolvi transformar os principais descuidos em uma espécie de checklist invertido. Guarde este e-mail e use-o toda vez que precisar conferir se a comunicação ao titular está redondinha.

  • Demorar (muito) além do prazo legal
    • O que aconteceu? Ciência do incidente em 22/03; e-mail aos titulares só em 24/04.
    • Por que é péssimo? A Resolução nº 15 da ANPD dá 3 dias úteis para avisar os titulares – e não 30. Se a ANPD bater à porta, o atraso sem motivo vira infração material.
  • Esquecer de explicar o atraso
    • Mandou fora do prazo? O mínimo é justificar (art. 9, IV da Resolução nº 15 da ANPD). Silêncio é confissão de desorganização – e ainda dificulta defesa administrativa.
  • Ocultar o contato do DPO
    • “Nossos canais oficiais” não conta. Precisamos da identidade e das informações de contato do encarregado (art. 9, VII da Resolução nº 15 da ANPD e art. 41 da LGPD). Sem isso, o titular nem sabe a quem recorrer.
  • Vender a ilusão de risco zero
    • Dizer “seus dados estão seguros, relaxe” não cola quando CPF, saldo e telefone vazaram. A lei exige descrição honesta dos riscos e dos possíveis impactos. Minimizar prejudica a autodeterminação do titular.
  • Não detalhar as medidas técnicas
    • Bloquear acesso depois do vazamento é básico, mas… quais controles existiam antes? Houve rotação de chaves? Auditoria no fornecedor? Transparência aqui demonstra accountability.
  • Omitir o plano de mitigação
    • Além do que já foi feito, liste o que será feito – prazos, responsáveis, auditorias, reforço de segurança. Notificação sem roadmap é só nota de desculpas.
  • Desencorajar ações de autoproteção
    • A notificação diz que “não é necessária nenhuma ação por sua parte”. Além de minimizar o risco, isso contraria a boa prática prevista no art. 9º, § 5º da Resolução nº 15 da ANPD, que recomenda oferecer instruções para reverter ou mitigar efeitos. Troca de senha, ativação de MFA e monitoramento de movimentações são medidas simples que deveriam ter sido sugeridas. Tirar o senso de urgência dos titulares pode facilitar golpes de engenharia social posteriores.
  • Esconder a causa raiz do incidente
    • O art. 9º, XI da Resolução nº 15 da ANPD exige “descrição do incidente, incluindo a causa principal, caso seja possível identificá-la”. A mensagem limita-se a dizer que “houve acesso não autorizado em fornecedor externo”, mas não explica como isso ocorreu (credenciais expostas? falha de firewall? erro de configuração?). Divulgar a causa, quando já apurada, ajuda o titular a entender a gravidade e demonstra controle do cenário. Ocultar gera desconfiança e pode indicar apuração inconclusa.

Como transformar este anti-exemplo em boa prática?

  • Crie SLA interno de 48 h para rascunho de comunicação. Sobra folga para revisões.
  • Checklist de conteúdo: prazo, natureza dos dados, riscos, medidas, DPO, próximos passos.
  • Modelo de e-mail pronto para aviso inicial dentro do prazo + cronograma público para eventuais atualizações.
  • Treine fornecedores: cláusula de notificação imediata, senão o prazo estoura antes de você saber.
  • Monitore o KPI “incidentes comunicados em até 3 dias úteis” = 100 %.

Esses deslizes parecem óbvios, mas refletem a realidade nua e crua do grau de maturidade em proteção de dados no Brasil, infelizmente.

Quer continuar essa conversa? Deixe seu comentário pelo link disponível ao final deste e-mail com suas dúvidas, relatos ou boas práticas.

Importante: este e-mail se apoia exclusivamente nas informações públicas da notificação. Não tenho acesso aos bastidores da empresa. Podem existir condicionantes internas, evidências técnicas ou orientações regulatórias não divulgadas que, eventualmente, expliquem ou atenuem alguns dos pontos apontados aqui. O objetivo é educativo, não acusatório.

Vamos que vamos e #colanopapai!

Abraços e boa semana,

Prof. Matheus Passos

O que você achou do conteúdo deste e-mail? Responda a uma única pergunta e nos auxilie a melhorar cada vez mais. Basta clicar aqui: https://forms.gle/pSQKssRsx43yhz1H8. Obrigado!

Deixe um comentário