Em um incidente de segurança envolvendo dados de saúde, as primeiras horas definem o tamanho do dano. Ter um plano de resposta é a diferença entre controlar a crise e ser controlado por ela.
Vazamentos acontecem mesmo em instituições diligentes: um ataque de ransomware, um e-mail enviado ao destinatário errado, um dispositivo perdido, um acesso indevido. A LGPD não pune o incidente em si, mas sim a falta de preparo e de resposta adequada. Saber o que fazer — e fazer rápido — é o que protege a instituição.
O passo a passo da resposta
1. Contenção imediata
Interrompa a exposição: isole sistemas afetados, revogue acessos comprometidos, troque credenciais. O objetivo é estancar o vazamento antes de mais nada — sem destruir evidências.
2. Avaliação do incidente
Identifique quais dados foram afetados, quantos titulares, qual a natureza (dados sensíveis aumentam a gravidade) e qual o risco real para os pacientes. Essa análise orienta todas as decisões seguintes e deve ser documentada.
3. Comunicação à ANPD e aos titulares
Quando o incidente puder acarretar risco ou dano relevante aos titulares, a LGPD exige comunicação à ANPD e aos pacientes afetados em prazo razoável. A comunicação deve descrever os dados envolvidos, os riscos e as medidas adotadas. Em dados de saúde, o patamar de risco relevante costuma ser atingido com facilidade.
4. Registro e medidas corretivas
Documente todo o ocorrido — da detecção à resposta — e implemente medidas para evitar a repetição. Esse registro é prova de diligência e fundamental em uma eventual fiscalização ou ação judicial.
A pergunta da ANPD nunca é apenas "houve vazamento?", mas "a instituição estava preparada e respondeu adequadamente?". É essa resposta que reduz — ou amplia — a responsabilização.
O que NÃO fazer
- Esconder o incidente ou minimizá-lo: a omissão agrava a responsabilidade;
- Apagar logs e evidências antes da análise;
- Comunicar sem avaliar, gerando pânico ou informação incorreta;
- Demorar: cada hora conta, tanto para conter o dano quanto para os prazos legais.
A melhor resposta começa antes
Instituições com um plano de resposta a incidentes (com papéis definidos, fluxo de comunicação e modelos prontos) atravessam a crise com muito menos dano. Construir esse plano — e treinar a equipe para acioná-lo — é parte essencial de um programa de privacidade na saúde.
Sofreu um incidente agora? Fale comigo com urgência.
Oriento a contenção, a avaliação e as comunicações obrigatórias — e ajudo a reduzir o dano e a exposição.
Atendimento urgente no WhatsApp