Vazamento de dados: como uma empresa deve responder a um incidente de segurança?
Por Especialistas Convidados |
*Por André Zanatta e Fernando Naegele
Nenhuma empresa quer lidar com um incidente de segurança, mas é provável que eventualmente esse cenário desagradável se apresente. Em meio a diversas notícias recentes sobre vazamento de dados em grandes companhias e organizações, uma pesquisa da Surfshark indica que o Brasil é um dos líderes mundiais em casos de vazamento de dados, com mais de 200 milhões de dados vazados somente no último trimestre de 2025.
- Mercado de dados: o que acontece com seu CPF depois que ele vaza?
- Cibersegurança: como empresas e usuários devem se proteger de ameaças digitais?
Entre o final de março e meados de abril de 2026, foram noticiadas possíveis invasões de hackers e vazamentos de dados em diversas empresas e órgãos públicos. Esse panorama ilustra como é fundamental que as organizações estejam preparadas para lidar com essa realidade, lançando mão de diretrizes previamente determinadas e de um Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Protection Officer).
Talvez o aspecto mais importante para gerir um incidente de segurança envolvendo dados pessoais seja o planejamento prévio. Após o vazamento, a sua contenção e reparação demanda a tomada de decisões de forma rápida, algumas vezes imediata. Cada minuto perdido gera prejuízo material e reputacional. Portanto, ter um plano de resposta a incidentes formalmente implementado, atualizado e amplamente disseminado na organização assume um papel fundamental.
A importância de um plano de resposta a ataques
Neste contexto, uma política de segurança da informação robusta e atualizada também é importante para limitar o impacto e o volume de dados expostos, com mecanismos de prevenção, tais como autenticação multifatorial e criptografia, e controles de detecção e resposta.
Ao definir anteriormente fluxos e procedimentos claros sobre a identificação, investigação e comunicação de incidentes, a empresa facilita e agiliza a resposta ao ocorrido. De acordo com as melhores práticas de governança, o plano de resposta pode indicar a formação de um comitê gestor do incidente, estabelecendo quem serão os seus participantes, o responsável e como os protocolos de resposta deverão ser ativados.
O plano também é importante porque retira do momento mais crítico e de maior estresse nos envolvidos - durante ou logo após o incidente - a necessidade de tomada de decisões procedimentais. Além da rapidez, o plano padroniza e torna claras as responsabilidades das áreas, reduzindo falhas de comunicação interna e o risco de tomada de decisões equivocadas no calor do momento. Esse fator se torna mais relevante porque os prazos para notificações de incidente, tanto contratuais quanto para os órgãos reguladores e cidadãos envolvidos, são habitualmente curtos (por exemplo, de 3 dias úteis para a ANPD e os titulares de dados pessoais).
Cultura organizacional também é defesa digital
Neste panorama, o DPO, ou Encarregado pelo Tratamento de Dados Pessoais, torna-se uma figura central na gestão de incidentes de segurança envolvendo dados pessoais. O DPO coordena a comunicação entre as áreas, orientando a empresa sobre as medidas e procedimentos a serem adotados, a avaliação do nível de risco envolvido e a necessidade de notificação à ANPD e aos titulares, sendo recomendável a sua liderança ou, ao menos, participação no comitê gestor do incidente.
Um DPO especializado, integrado ao time de segurança da informação e com conhecimento da empresa torna-se um diferencial em toda essa cadeia. Ajuda a contornar e gerir crises, reduzindo os seus impactos e sendo um pilar essencial para a governança de dados e para a construção de uma cultura organizacional voltada à proteção da privacidade.
Pequena ou grande, estamos diante de uma realidade na qual toda empresa precisará lidar com incidentes de segurança envolvendo vazamento de dados, seja em casos em que a empresa foi o alvo direto ou mesmo em casos em que ela é afetada indiretamente, sendo o alvo um de seus fornecedores ou clientes.
Cabe à organização decidir se prefere lidar de forma proativa e planejada ou reativa. Essa decisão pode ser vital para transformar um incidente com consequências catastróficas em um incidente sem maiores repercussões.
Para se aprofundar mais na questão de cibersegurança, recomendamos ouvir o episódio sobre golpes com inteligência artificial do Podcast Canaltech.
* André Zanatta e Fernando Naegele são, respectivamente, sócio e associado do Felsberg Advogados na área de Tecnologia, Proteção de Dados, IA e Law Enforcement.