# IR Playbook - Notificação de Incidente LGPD/ANPD
> [!warning] Aviso Importante
> Este playbook e um ponto de partida para o processo de notificação de incidentes sob a LGPD. NAO substitui assessoria juridica especializada. O DPO (Encarregado) DEVE ser envolvido imediatamente. Prazos regulatorios sao estritos e o descumprimento pode resultar em sancoes da ANPD. Sempre consultar o juridico antes de qualquer comunicação externa.
---
## Visão Geral
A Lei Geral de Proteção de Dados (Lei n. 13.709/2018 - LGPD) estabelece obrigações específicas para organizacoes quando ocorre um incidente de segurança que resulte em acesso nao autorizado a dados pessoais. O **Art. 48** determina a obrigação de comunicar o incidente a **ANPD** (Autoridade Nacional de Proteção de Dados) e aos **titulares de dados** afetados.
**Este playbook e acionado quando:**
- Ransomware confirmou exfiltração de dados pessoais
- Vazamento de dados via acesso indevido (insider, intruso)
- Banco de dados com dados pessoais expostos publicamente
- Credenciais de clientes ou funcionarios comprometidas
- Backup contendo dados pessoais acessado por terceiro nao autorizado
- Incidente em fornecedor com acesso a dados pessoais da organização
**Categorias de dados pessoais sensiveis (LGPD Art. 5, II):**
Dados de saude, dados geneticos, dados biometricos, origem racial ou etnica, convicao religiosa, opiniao politica, filiacao sindical, vida sexual - requerem **notificação imediata e prioritaria**.
**Relevância Brasil:** O Brasil tinha, em 2025, mais de 4.000 casos de vazamento de dados registrados na ANPD. As sancoes previstas na LGPD podem chegar a **2% do faturamento bruto**, limitado a R$ 50 milhoes por infracao.
**Notas relacionadas:** [[lgpd-lei-geral-proteção-dados]] - [[anpd-autoridade-nacional]] - [[t1041-exfiltration-c2|T1041]] - [[financial|setor financeiro]] - [[healthcare|setor saude]] - [[government|governo]]
---
## Timeline de Notificação LGPD (Art. 48)
```mermaid
graph TB
A["🔴 T+0h<br/>Incidente Confirmado<br/>Dados Pessoais Afetados"] --> B["⏱️ T+0 a T+72h<br/>JANELA CRITICA<br/>Avaliacao e Decisao"]
B --> C{Notificação<br/>ANPD Necessaria?}
C -->|Dados pessoais comprometidos| D["📋 T+72h MAX<br/>Notificar ANPD<br/>via peticionamento.anpd.gov.br"]
C -->|Apenas dados anonimos| E["📝 Documentar Internamente<br/>Sem notificação obrigatoria"]
D --> F["📞 Notificar Titulares<br/>Afetados em Prazo Razoavel"]
F --> G["🔒 Medidas Corretivas<br/>Documentadas"]
G --> H["📊 Relatorio Final<br/>para ANPD em até 30 dias"]
H --> I([" Processo Concluido"])
style A fill:#ff4444,color:#fff
style D fill:#ff6600,color:#fff
style F fill:#ff9900,color:#000
style I fill:#00aa44,color:#fff
style B fill:#cc0000,color:#fff
```
---
## Arvore de Decisao - Obrigatoriedade de Notificação
```mermaid
flowchart TD
A[Incidente Identificado] --> B{Dados Pessoais<br/>foram afetados?}
B -->|Nao| C[Sem obrigação LGPD<br/>Documentar internamente]
B -->|Sim| D{Qual o nivel<br/>de risco?}
D -->|Risco ou dano relevante| E[NOTIFICAR ANPD<br/>em até 72h]
D -->|Risco mínimo / controlado| F[Avaliar com DPO<br/>Documentar decisao]
E --> G{Dados Sensiveis<br/>Art. 5 II?}
G -->|Sim| H[MAXIMA PRIORIDADE<br/>Notificar ANPD + Titulares<br/>Imediatamente]
G -->|Nao| I[Notificar ANPD<br/>em até 72h]
H --> J[Monitorar prazo<br/>de resposta ANPD]
I --> J
F --> K{Risco futuro<br/>identificado?}
K -->|Sim| I
K -->|Nao| C
style E fill:#ff4444,color:#fff
style H fill:#cc0000,color:#fff
style C fill:#00aa44,color:#fff
```
---
## Fase 1 - Descoberta e Avaliacao (T+0 a T+24h)
> [!danger] Relogio LGPD Iniciado
> A partir do momento em que o controlador toma ciencia do incidente, o prazo de 72h para notificação da ANPD comeca a correr. Registrar data e hora exata da confirmacao do incidente.
### Passo 1 - Registrar Hora de Confirmacao
```
REGISTRO OBRIGATORIO:
Data/Hora da confirmacao do incidente: [DD/MM/YYYY HH:MM:SS]
Responsavel pelo registro: [nome]
Canal de confirmacao: [SIEM / EDR / Notificação externa / Outro]
```
### Passo 2 - Avaliacao de Dados Afetados
Responder obrigatoriamente antes da notificação ANPD:
| Pergunta | Resposta | Evidência |
|----------|----------|-----------|
| Quais dados pessoais foram afetados? | | |
| Quantos titulares afetados (estimativa)? | | |
| Dados sensiveis (Art. 5 II) estao entre os afetados? | | |
| Os dados estavam criptografados (em repouso)? | | |
| Os dados foram exfiltrados ou apenas acessados? | | |
| O acesso nao autorizado esta encerrado? | | |
| Ha evidência de uso indevido já ocorrido? | | |
### Passo 3 - Classificar Severidade LGPD
| Nivel | Criterio | Acao |
|-------|----------|------|
| **CRITICO** | Dados sensiveis + exfiltração confirmada + uso indevido | Notificação ANPD imediata + Titulares |
| **ALTO** | Dados pessoais comuns + exfiltração + > 1.000 titulares | Notificação ANPD em até 72h |
| **MEDIO** | Dados pessoais comuns + acesso sem confirmacao de exfiltração | Avaliacao com DPO obrigatoria |
| **BAIXO** | Dados anonimizados ou pseudonimizados sem chave de re-identificação | Documentacao interna |
---
## Fase 2 - Contencao e Controle do Incidente (T+0 a T+48h)
> [!warning] Acao com Impacto Potencial
> As acoes abaixo podem impactar a disponibilidade de servicos. Confirmar autorização com o gerente de incidentes antes de executar em producao.
### Contencao Técnica Imediata
- [ ] Revogar credenciais comprometidas que permitiram o acesso aos dados pessoais
- [ ] Fechar o vetor de acesso tecnico (CVE, configuração incorreta, credencial vazada)
- [ ] Isolar sistemas ou bancos de dados comprometidos
- [ ] Preservar logs e evidencias - NAO deletar ou modificar antes da investigação forense
- [ ] Criar snapshot de logs de acesso ao período afetado (SIEM, banco de dados, aplicação)
- [ ] Verificar se o acesso ainda esta ativo - confirmar que o atacante foi expulso
- [ ] Bloquear IPs e dominios de C2 se incidente foi ataque externo
### Coleta de Evidencias Obrigatorias (para Notificação ANPD)
- [ ] Logs de acesso ao sistema/banco de dados no período do incidente
- [ ] Registros de exfiltração de dados (logs de rede, DLP, CASB)
- [ ] Lista de arquivos ou registros acessados/exfiltrados (se possível determinar)
- [ ] Timeline do incidente com evidencias técnicas
- [ ] Identificação do vetor de acesso inicial
---
## Fase 3 - Notificação ANPD (Ate T+72h)
### Canais Oficiais de Notificação
**Portal de peticionamento ANPD:**
- URL: `peticionamento.anpd.gov.br`
- Requer cadastro previo como controlador
- Selecionar: "Comúnicação de Incidente de Segurança"
**Contato alternativo:**
- Email: `
[email protected]`
- Telefone: (61) 2027-9000
### Templaté de Comúnicação ANPD (Art. 48, LGPD)
```
COMUNICACAO DE INCIDENTE DE SEGURANCA - LGPD ART. 48
1. IDENTIFICACAO DO CONTROLADOR
Razao Social: [nome]
CNPJ: [CNPJ]
Endereco: [endereco]
DPO/Encarregado: [nome, email, telefone]
2. DESCRICAO DO INCIDENTE
Data/Hora de confirmacao: [DD/MM/YYYY HH:MM]
Natureza do incidente: [ransomware / acesso indevido / vazamento / outro]
Como foi descoberto: [EDR / SIEM / denuncia / auditoria]
O incidente esta encerrado: [sim/nao - em andamento]
3. DADOS PESSOAIS AFETADOS
Categorias de dados: [lista: nome, CPF, email, dados de saude, etc]
Dados sensiveis (Art. 5 II): [sim/nao - específicar]
Volume estimado de titulares: [número ou faixa]
Dados estavam criptografados: [sim/nao]
Evidencia de exfiltração: [confirmada/suspeita/descartada]
4. TITULARES AFETADOS
Perfil dos titulares: [clientes / funcionarios / terceiros]
Os titulares já foram notificados: [sim/nao]
Previsao de notificação aos titulares: [data]
5. POSSIVEIS CONSEQUENCIAS
[Descrever potenciais danos aos titulares: fraude, discriminacao,
prejuizo financeiro, dano a reputacao, etc]
6. MEDIDAS ADOTADAS
[Listar acoes técnicas e organizacionais tomadas para conter e
mitigar o incidente]
7. CONTATO PARA ESCLARECIMENTOS
Nome: [nome do DPO ou representante]
Email: [email]
Telefone: [telefone]
Disponibilidade: [horario]
```
---
## Fase 4 - Notificação dos Titulares
> [!note] Prazo
> A LGPD exige comunicação aos titulares em "prazo razoavel". A ANPD interpreta isso como o mais breve possível, priorizando casos com risco de dano imediato aos titulares (ex: dados de saude, financeiros, senhas).
### Canais de Notificação de Titulares
| Canal | Usar quando | Prazo |
|-------|------------|-------|
| Email direto | Dados de contato disponiveis e válidos | Prioridade 1 |
| SMS | Telefone disponível, email indisponível | Prioridade 2 |
| Portal/App | Titulares sao usuarios cadastrados | Prioridade 2 |
| Aviso no site | Volume alto, dados de contato indisponiveis | Complementar |
| Midia/Imprensa | Volume muito alto, dados sensiveis | Com assessoria juridica |
### Templaté - Comúnicação para Titulares (LGPD)
```
Assunto: Comúnicado Importante sobre a Segurança dos seus Dados
Prezado(a) [nome ou "Titular"],
A [NOME DA EMPRESA] informa que identificou um incidente de segurança
que pode ter afetado dados pessoais sob nossa responsabilidade.
O QUE ACONTECEU
Em [data], identificamos que [descrição objetiva e nao técnica do incidente].
Agimos imediatamente para [acoes tomadas].
QUAIS DADOS FORAM AFETADOS
Potencialmente afetados: [lista simplificada: nome, CPF, email, etc]
Dados NAO afetados: [lista se aplicavel]
O QUE VOCE DEVE FAZER
1. [Acao específica - ex: Troque sua senha]
2. [Acao específica - ex: Monitore seu CPF no Registrato BACEN]
3. [Acao específica - ex: Fique aténto a tentativas de phishing]
O QUE ESTAMOS FAZENDO
- [Medida 1]
- [Medida 2]
- Notificamos a Autoridade Nacional de Proteção de Dados (ANPD)
SEUS DIREITOS (LGPD)
Voce tem o direito de:
- Solicitar confirmacao da existencia de tratamento dos seus dados
- Solicitar acesso, correcao ou exclusao dos seus dados
- Obter informacoes sobre o uso dos seus dados
CONTATO
Canal exclusivo para este incidente: [email/telefone]
DPO/Encarregado: [nome, email]
```
---
## Ferramentas Recomendadas
### Investigação Forense
| Ferramenta | Uso |
|------------|-----|
| **Splunk** | Correlação de logs - identificar quais dados foram acessados |
| **Microsoft Sentinel** | UEBA - detectar acesso anomalo a dados pessoais |
| **Varonis** | Data classification - mapear dados pessoais afetados |
| **Securiti.ai** | DSAR automation e mapeamento de dados pessoais |
| **OneTrust** | Gestao de incidentes LGPD e notificação regulatoria |
### Estimativa de Volume de Titulares
```sql
-- Exemplo: consulta em banco de dados para estimar titulares afetados
-- NUNCA executar sem autorização do DBA e do DPO
SELECT COUNT(DISTINCT cpf) as titulares_afetados
FROM tabela_clientes
WHERE data_ultima_atualização BETWEEN 'DATA_INICIO_SUSPEITA' AND 'DATA_DETECCAO'
AND id IN (SELECT DISTINCT id FROM logs_acesso WHERE ip_origem = 'IP_ATACANTE');
```
---
## Checklist Completo - Processo LGPD
### Fase 1 - Descoberta (T+0 a T+4h)
- [ ] Registrar data/hora exata da confirmacao (relogio LGPD inicia aqui)
- [ ] Acionar DPO/Encarregado imediatamente
- [ ] Iniciar avaliacao de quais dados pessoais foram afetados
- [ ] Identificar categorias de dados (comum vs. sensivel Art. 5 II)
- [ ] Estimar volume de titulares afetados
- [ ] Confirmar se o acesso ainda esta ativo
### Fase 2 - Avaliacao (T+4h a T+24h)
- [ ] DPO e juridico avaliam obrigatoriedade de notificação ANPD
- [ ] Documentar a decisao (notificar ou nao) com justificativas
- [ ] Se notificar: preparar comunicação ANPD (formulario peticionamento)
- [ ] Identificar titulares afetados e meios de contato disponiveis
- [ ] Preparar comunicação para titulares
- [ ] Briefing executivo com avaliacoes juridicas
### Fase 3 - Notificação ANPD (Ate T+72h)
- [ ] Submeter notificação via peticionamento.anpd.gov.br
- [ ] Guardar comprovante de envio
- [ ] Registrar número de protocolo ANPD
- [ ] Preparar para questionamentos da ANPD nos proximos dias
### Fase 4 - Notificação de Titulares
- [ ] Enviar comunicação via canal primario (email/SMS)
- [ ] Documentar titulares notificados (data, canal, conteudo)
- [ ] Monitorar respostas e duvidas dos titulares
- [ ] Disponibilizar canal de aténdimento específico para o incidente
### Fase 5 - Relatorio Final (Ate T+30 dias)
- [ ] Relatorio tecnico completo do incidente
- [ ] Relatorio de conformidade LGPD para ANPD (se solicitado)
- [ ] Documentacao de medidas corretivas implementadas
- [ ] Licoes aprendidas e melhorias do programa de privacidade
---
## Queries de Detecção - Vazamento de Dados Pessoais
### Splunk - Acesso Anomalo a Banco de Dados com Dados Pessoais
```spl
index=database
action IN ("SELECT", "QUERY")
table IN ("clientes", "usuarios", "funcionarios", "pacientes")
| stats count by src_ip, user, table, _time
| where count > 1000
| sort -count
```
### Splunk - Exfiltração de Dados (DLP)
```spl
index=dlp
| where severity IN ("high", "critical")
| where action = "blocked" OR action = "allowed"
| where data_classification IN ("pii", "cpf", "lgpd_sensitive")
| stats count by src_user, dest_ip, data_classification
| sort -count
```
### KQL - Microsoft Sentinel - Acesso em Massa a Dados Pessoais
```kql
// Detect mass access to tables containing personal data
AzureDiagnostics
| where ResourceType == "SERVERS" and Category == "SQLSecurityAuditEvents"
| where statement_s has_any ("clientes", "usuarios", "cpf", "rg", "data_nascimento")
| where action_name_s in ("SELECT", "BATCH COMPLETED")
| summarize QueryCount = count(), RowsAccessed = sum(rows_affected_d) by client_ip_s, server_principal_name_s, bin(TimeGenerated, 1h)
| where QueryCount > 100 or RowsAccessed > 10000
| order by RowsAccessed desc
```
---
## Licoes Aprendidas
### Questoes Obrigatorias Pos-Incidente
1. O processo de notificação ANPD foi cumprido dentro do prazo de 72h?
2. Todos os titulares afetados foram identificados corretamente?
3. A comunicação aos titulares foi adequada e clara?
4. O DPO tinha as ferramentas necessárias para avaliar o incidente rapidamente?
5. O mapeamento de dados pessoais (inventario) estava atualizado?
6. As medidas técnicas (criptografia em repouso, controle de acesso) eram suficientes?
### Metricas de Conformidade
| Metrica | Valor | Meta |
|---------|-------|------|
| Tempo de confirmacao do incidente | | < 4h |
| Tempo de notificação ANPD | | < 72h |
| Tempo de notificação de titulares | | < 7 dias |
| Percentual de titulares notificados | | > 90% |
| Dados pessoais afetados catalogados | | 100% |
### Melhorias Recomendadas
- [ ] Manter inventario de dados pessoais (ROPA - Registro de Operacoes de Tratamento) atualizado
- [ ] Implementar criptografia em repouso para todos os bancos com dados pessoais
- [ ] Implementar DLP (Data Loss Prevention) para monitorar exfiltração de PII
- [ ] Treinar equipe de IR em LGPD anualmente
- [ ] Simular exercicio de notificação ANPD semestralmente (tabletop)
- [ ] Contratar DPO certificado ou terceirizar para especialista em privacidade
- [ ] Cadastrar a organização no portal de peticionamento ANPD antes de um incidente
---
## Referências
- [[lgpd-lei-geral-proteção-dados]] - Lei n. 13.709/2018 - LGPD
- [[anpd-autoridade-nacional]] - Autoridade Nacional de Proteção de Dados
- [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] - exfiltração de dados
- [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - acesso a dados na nuvem
- [[akira-ransomware]] - grupo que frequentemente exfiltra dados pessoais
- [[lockbit]] - operador de dupla extorsao com historico de LGPD violations
- [[financial|setor financeiro]] - setor com maiores obrigações regulatorias
- [[healthcare|setor saúde]] - dados de saúde sao dados sensiveis (Art. 5 II)
- [[government|governo]] - obrigações de transparencia e notificação amplificadas
- [ANPD - Comúnicação de Incidentes de Segurança](https://www.gov.br/anpd/pt-br)
- [ANPD - Resolução CD/ANPD n. 15 (2024) - Comúnicação de Incidentes](https://www.gov.br/anpd)
- [IAPP - Brazil LGPD Breach Notification Guide](https://iapp.org/resources/article/brazil-lgpd/)
- [peticionamento.anpd.gov.br](https://peticionamento.anpd.gov.br)
---
*Ultima revisao: 2026-03-27 | Proxima revisao recomendada: 2026-09-27*