Fluir Soluções em TI

Sua empresa sobreviveria 72 horas
sem acesso aos próprios dados?

Pense no seguinte cenário:

Uma segunda-feira de manhã: sua equipe chega, abre os sistemas e algo não está certo. Dados de clientes não aparecem onde deveriam. Um arquivo foi acessado de fora. Ou pior: você recebe um e-mail comunicando que informações da sua empresa estão circulando pela internet.

Desde a Resolução nº 15/2024 da ANPD, toda empresa que opera no Brasil tem um prazo legal para comunicar à Autoridade Nacional de Proteção de Dados qualquer incidente de segurança que possa causar risco ou dano relevante a titulares de dados.

3 dias úteis é o prazo legal para comunicar um incidente à ANPD.

Não são semanas, são três dias úteis.

E o detalhe que muda tudo: a comunicação tardia ou a omissão são agravantes da multa. Quanto mais tempo você demorar para reportar, pior fica sua situação perante a lei.

"Se hoje, agora, um incidente fosse confirmado, quem na sua empresa sabe o que fazer?"

Há um responsável identificado? Existe um protocolo escrito? Há modelo de comunicação para a ANPD? Para os clientes afetados?

Na maior parte das empresas médias brasileiras, a resposta honesta é: não. Às vezes pode parecer improvável ou distante da realidade dessas empresas. Até o dia em que não é mais.

O custo de não estar preparado

A legislação prevê dois vetores de exposição simultâneos:

Administrativo: multa de até 2% do faturamento bruto (teto de R$ 50 milhões por infração), além de multa diária enquanto o problema não for resolvido.

Civil: o STJ já confirmou que a responsabilidade do controlador de dados é objetiva, basta provar que o dano ocorreu. Ações de clientes afetados podem correr paralelamente ao processo administrativo.

E ainda há um terceiro vetor, mais difícil de quantificar: o dano à reputação. A ANPD pode determinar a publicização da infração. Ou seja, os clientes (e concorrentes) ficam sabendo.

O que um plano de resposta a incidentes precisa ter

  • Quem é notificado internamente quando um incidente é suspeito

  • Quem tem autoridade para confirmar e acionar o protocolo formal

  • Quem comunica à ANPD, com modelo de comunicado já estruturado

  • Quem comunica aos titulares afetados: clientes, funcionários, parceiros

  • Onde fica o registro do incidente, obrigação de manutenção por 5 anos

  • Quem é o DPO: o Encarregado de Dados responsável por coordenar tudo isso

Esse protocolo precisa existir antes do incidente!

E então, sua empresa sobreviveria 72 horas sem acesso aos próprios dados?

Mas a pergunta não é sobre os dados em si, mas o que você faria se descobrisse que alguém mais também tem acesso.

A Fluir ajuda empresas a construir processos de segurança da informação e resposta a incidentes!

Fale com nosso time e descubra onde sua empresa está exposta antes que alguém de fora descubra primeiro.