Incidentes

Um incidente de segurança é qualquer evento que comprometa dados pessoais: vazamento, acesso indevido, perda de um arquivo, e-mail enviado para a lista errada. Este módulo ajuda sua OSC a registrar o ocorrido e comunicar os titulares afetados de forma rastreável.

Gestão de incidentes Registre o incidente com título, descrição/medidas tomadas e os dados envolvidos (alcance).

O que registrar

  • Título / Resumo — uma frase que identifica o incidente.
  • Descrição e Medidas Tomadas — o que aconteceu e o que sua OSC fez em resposta.
  • Dados Envolvidos (Alcance) — quais dados e quantas pessoas foram potencialmente afetadas.

Cada incidente registrado entra no Histórico de Incidentes, criando a trilha que você pode apresentar à ANPD, ao conselho ou a um financiador.

Comunicação aos titulares

Quando há risco relevante, a OSC deve avisar os titulares afetados. O plugin ajuda a fazer essa comunicação de forma rastreável — fica registrado quem foi comunicado e quando.

⚠️ Atenção — a notificação à ANPD é por sua conta

O plugin não notifica a ANPD automaticamente. A notificação oficial à Autoridade Nacional de Proteção de Dados deve ser feita pela sua OSC, pelos canais oficiais do governo, dentro dos prazos e critérios que a ANPD define. O V3RLGPD cuida do registro interno e da comunicação aos titulares.

💡 Por que isso importa

A diferença entre um incidente bem e mal conduzido costuma estar na velocidade e na rastreabilidade. Registrar na hora, com o alcance e as medidas, evita o “achismo” depois e demonstra que a OSC agiu com responsabilidade — o que pesa muito na avaliação de um incidente.

Como se preparar: um plano de resposta a incidentes

A melhor hora de pensar num incidente é antes dele acontecer. Um “plano de resposta” não precisa ser um documento complexo — para a maioria das OSCs, é uma página combinando quem faz o quê quando algo der errado. Use o roteiro abaixo como ponto de partida.

Os passos de uma boa resposta

  1. Detectar e registrar — assim que alguém perceber algo (um e-mail para a lista errada, um pendrive perdido, um acesso estranho), registre o incidente aqui no módulo, com data, descrição e o alcance. Quanto antes, melhor.
  2. Conter — pare o que está causando o problema: troque senhas, revogue um acesso, tire do ar um formulário com falha. Anote o que foi feito em Medidas Tomadas.
  3. Avaliar o risco — quantas pessoas? Que tipo de dado (um e-mail vaza diferente de um dado de saúde de uma criança)? Há risco real de dano (fraude, exposição, discriminação)? Essa avaliação define os próximos passos.
  4. Comunicar quem precisa — se houver risco relevante aos titulares, comunique-os (o módulo registra essa comunicação). Avalie também a notificação à ANPD (veja abaixo).
  5. Documentar e aprender — feche o registro com o que aconteceu, o que foi feito e o que mudar para não repetir. Esse histórico é a sua prova de diligência.

Quando notificar a ANPD e os titulares

A LGPD (art. 48) determina que o controlador comunique à ANPD e aos titulares afetados os incidentes que possam acarretar risco ou dano relevante. A comunicação deve ser feita em prazo razoável (a ANPD orienta os prazos e o formato pelos canais oficiais). Nem todo incidente exige notificação — um deslize sem risco real pode só ser registrado internamente —, mas na dúvida sobre a gravidade, busque orientação e prefira a transparência.

⚠️ A notificação oficial à ANPD é feita pela sua OSC, pelos canais do governo — o plugin não a envia automaticamente. Ele cuida do registro interno e da comunicação rastreável aos titulares.

Exemplos no dia a dia de uma OSC

  • E-mail com cópia aberta (Cc em vez de Cco) para a lista de beneficiários — expõe e-mails de todos entre si. Avalie o risco (a quem expôs?), comunique se necessário e adote o Cco como padrão.
  • Planilha de doadores em serviço de nuvem compartilhada por engano — revogue o compartilhamento, veja quem acessou, documente.
  • Notebook ou celular da equipe perdido/roubado com dados de assistidos — se não havia senha/criptografia, o risco é maior; registre, avalie e comunique conforme o caso.

💡 Por que isso importa

Quem tem um plano combinado responde em horas, não em dias — e isso reduz o dano e demonstra responsabilidade. Defina desde já quem decide, quem comunica e em quanto tempo. Veja também a etapa 8 do passo a passo da conformidade.

Como registrar no plugin

➡️ Passo a passo em Registrar um incidente.