Loading…
Um incidente com dados pessoais inicia um relógio regulatório que não para por fins de semana, feriados ou disponibilidade de executivos. Sob o Artigo 33 do GDPR, você tem 72 horas a partir do conhecimento para notificar a Autoridade de Controle. A Regra 7 do DPDPA, a Seção 26B do PDPA e a Resolução 15/2024 da LGPD estabelecem prazos semelhantes.
Este manual divide as 72 horas em cinco fases nomeadas — Detecção, Contenção, Avaliação, Documentação, Protocolo — com entregáveis concretos em cada etapa. Use-o como um runbook: quando algo está pegando fogo, você não quer estar redigindo o processo. Você quer estar executando-o.
O Artigo 33 diz "o mais tardar 72 horas após ter tomado conhecimento dela." O conhecimento ocorre quando o controlador tem grau razoável de certeza de que um incidente de segurança ocorreu e que há dados pessoais envolvidos. Ele não é:
As Diretrizes 9/2022 do EDPB sobre notificação de incidentes com dados pessoais permitem um breve período de investigação para chegar ao conhecimento, mas esse período deve ser curto — uma questão de horas, não de dias.
Objetivo: Confirmar que um incidente ocorreu, preservar evidências forenses e ativar a equipe de resposta.
Entregável em T+6h: Resumo do incidente em uma página — o que aconteceu, quando, quais sistemas, quais categorias de dados podem estar envolvidas, o que é conhecido como desconhecido.
Objetivo: Estancar o sangramento, isolar os sistemas afetados e notificar partes externas sensíveis ao tempo.
Entregável em T+24h: Confirmação de contenção; declaração preliminar de escopo.
Objetivo: Determinar a magnitude e o dano provável — isso orienta toda decisão posterior.
Entregável em T+48h: Avaliação de risco de dano; matriz de decisão de notificação; modelo de notificação preenchido como rascunho.
Objetivo: Construir o artefato que você vai protocolar, fechar o registro interno, informar as partes interessadas.
Entregável em T+72h: Notificação pronta para protocolo; registro interno completo.
Objetivo: Notificar os reguladores dentro do prazo legal e comunicar aos titulares de dados quando exigido.
Entregável em T+72h+: Confirmação do protocolo; comunicações aos titulares de dados enviadas (ou decisão documentada de não comunicar); revisão pós-incidente agendada em até 14 dias.
| Regulador | Prazo legal | Limiar |
|---|---|---|
| Autoridade de Controle da UE (GDPR) | 72 horas a partir do conhecimento (Art. 33) | A menos que seja improvável que resulte em risco aos direitos e liberdades |
| ICO (UK GDPR) | 72 horas a partir do conhecimento | Mesmo limiar baseado em risco |
| CPPA / Procurador-Geral da Califórnia (CCPA) | "No prazo mais expedito possível" (Cal. Civ. Code §1798.82) | Afetar mais de 500 residentes da Califórnia aciona a notificação ao Procurador-Geral |
| Data Protection Board of India (DPDPA) | Sem demora; especificidades na Regra 7 | Todos os incidentes com dados pessoais |
| CERT-In (Diretrizes do IT Act da Índia de 2022) | 6 horas a partir da constatação | Categorias de incidentes designadas (ransomware, DDOS, defacement, etc.) |
| PDPC (PDPA de Singapura) | 72 horas após a avaliação confirmar um incidente notificável | Dano significativo OU 500+ indivíduos |
| ANPD (LGPD do Brasil) | 3 dias úteis a partir da confirmação (Res. 15/2024) | Risco ou dano relevante aos titulares de dados |
| PPC (APPI do Japão) | Sem demora (normalmente dias, não semanas) | Vazamento de dados sensíveis, perda financeira, intenção maliciosa ou 1.000+ registros |
A falha organizacional mais comum é a falta de clareza sobre quem detém a responsabilidade entre o DPO e o Conselho Jurídico Geral pelo protocolo efetivo junto ao regulador. Defina isso com antecedência — a maioria das equipes adota como padrão a redação pelo DPO sob sigilo profissional da assessoria, com o DPO como contato nomeado no próprio protocolo.
O Artigo 34 do GDPR aciona a comunicação ao titular de dados quando há alto risco aos direitos e liberdades. O critério é mais elevado do que o limiar de notificação à AS. Exemplos que justificam a notificação:
O Artigo 34(3) lista três isenções à comunicação direta: criptografia que torne os dados ininteligíveis a pessoas não autorizadas, medidas que eliminem o alto risco ou um esforço desproporcional que possa ser substituído por comunicação pública.
Conteúdo da notificação (Artigo 34(2)): natureza do incidente, nome e contato do DPO, consequências prováveis, medidas tomadas. Em linguagem simples.
Não. O Artigo 33 é contado em horas, não em dias úteis. Alguns reguladores (LGPD, PDPA de Singapura) definem prazos em dias úteis; verifique o regime específico.
O Artigo 33(1) permite a notificação posterior "acompanhada das razões para o atraso." As ASs aceitam isso, mas o examinam de perto. Atrasos recorrentes são um gatilho de fiscalização.
O Artigo 33(2) exige que o operador notifique o controlador "sem demora injustificada." Seu DPA provavelmente especifica um prazo mais apertado (frequentemente 24–48 horas). A notificação à AS é obrigação do controlador, mas o operador deve fornecer informações e tempo suficientes para que ele cumpra o prazo de 72 horas.
Para qualquer coisa material, sim. A assessoria externa estabelece o sigilo profissional sobre o produto do trabalho de investigação e reduz significativamente a exposição na fase de descoberta de litígios futuros. Um seguro barato.
Exercício de mesa trimestral com um cenário realista baseado em injeções de eventos, comprimido no tempo para 90 minutos simulando a janela de 72 horas. Registre o atraso na tomada de decisão em cada transição de fase. Use o mesmo conjunto de conteúdo do Artigo 33(3) que você apresentaria de fato.
A RegulatoryBridge opera resposta a violações 24×7 — comandante do incidente, notificação ao regulador, comunicação com o titular dos dados — sob sigilo profissional. Ative em minutos.