Vazamento sem notificação correta vira problema duplo: técnico e regulatório. Este guia mostra quando notificar, o que documentar e como agir sem improviso.
Quando a PME deve considerar notificação
Quando o incidente puder acarretar risco ou dano relevante aos titulares. O ponto chave é demonstrar avaliação de impacto, diligência e rastreabilidade da decisão.
Checklist de avaliação inicial
- Que tipo de dado foi afetado (sensível, financeiro, identificação)?
- Quantos titulares podem ter sido impactados?
- Houve acesso indevido, exfiltração ou indisponibilidade crítica?
- O incidente já foi contido?
- Há evidências técnicas preservadas?
Informações mínimas para o dossiê interno
- Data/hora da detecção e da contenção
- Sistemas e dados impactados
- Causa provável e vetor do incidente
- Medidas técnicas e administrativas adotadas
- Plano de mitigação e prevenção de recorrência
- Justificativa para comunicar (ou não) titulares/autoridade
Modelo objetivo de comunicação interna
Resumo executivo: incidente [ID], detectado em [data], com impacto potencial em [dados/titulares].
Status: [contido/em investigação/recuperação].
Ação imediata: [isolar/revogar acesso/restaurar backup/comunicar partes].
Próximo checkpoint: [data/hora].
Como reduzir risco regulatório na prática
- Tenha dono do processo (DPO ou responsável nomeado)
- Use template de resposta a incidentes
- Mantenha inventário de dados atualizado
- Teste plano de crise trimestralmente
Interlink recomendado do cluster LGPD
- Backup em nuvem para PMEs: implementação + teste de restauração
- Plano de resposta a incidentes LGPD (24h)
- DPO para PMEs: guia prático
- Mapeamento de dados pessoais para PMEs
- Multas LGPD: casos reais e prevenção
Conclusão
Notificar bem não é “papelada”. É prova de governança. PME que prepara processo antes do incidente responde melhor, sofre menos e protege mais a operação.