São 8h42 da manhã.
O time de TI identifica atividade anômala.
Às 9h15, surge a suspeita de acesso indevido a uma base que contém dados pessoais.
Às 10h, a diretoria quer respostas.
Às 11h, o jurídico pergunta: “Precisamos comunicar?”
Nesse momento, nenhuma política ajuda. O que ajuda é saber exatamente o que aconteceu.
A diferença entre teoria e operação
Toda empresa afirma estar em conformidade com a LGPD, mas, quando um incidente ocorre, a conformidade deixa de ser declaração e passa a ser execução.
A ANPD estabeleceu regras claras para comunicação de incidentes envolvendo dados pessoais. O prazo existe. A obrigação é objetiva. A responsabilidade é do controlador.
E o relógio começa a contar no momento em que o incidente é conhecido.
Não existe “tempo para organizar a casa”. Ou a organização já tem estrutura, ou ela improvisa.
A primeira pergunta nunca é jurídica
Quando um incidente acontece, a primeira pergunta não é: “Qual é o risco de multa?”
A primeira pergunta é: “Temos visibilidade suficiente para entender o impacto?”
Sem logs adequados, sem monitoramento estruturado e sem processo definido, a empresa nãosabe:
Se houve exfiltração ou apenas tentativa.
Quais dados foram efetivamente acessados.
Quantos titulares podem ter sido impactados.
Quando o incidente começou.
E sem essas respostas, não existe decisão segura sobre comunicação.
Compliance não falha na política. Falha na ausência de evidência.
Logging é governança. Resposta é maturidade.
Em 2026, o regulador espera algo simples: capacidade de resposta estruturada.
Isso significa:
Identificação rápida.
Análise consistente.
Registro de decisões.
Preservação de evidências.
Ações corretivas documentadas.
Não é sobre estar perfeito. É sobre demonstrar diligência técnica.
Sem trilha de auditoria, não há como sustentar narrativa. Sem processo formal de resposta, nãohá como demonstrar controle.
Segurança e compliance deixaram de ser áreas separadas
Durante anos, compliance foi visto como camada documental e segurança como camada técnica.
Essa separação não existe mais.
Se a postura de segurança é frágil, o incidente é mais provável. Se o monitoramento é fraco, a detecção é tardia. Se não há testes reais de exposição, as falhas permanecem invisíveis. E quandoo incidente ocorre, a empresa precisa provar que agiu com diligência antes e depois do evento.
Pentest deixa de ser apenas prevenção. MDR deixa de ser apenas detecção. Estrutura de logging deixa de ser apenas infraestrutura.
Tudo vira base de accountability.
O risco invisível
A multa é apenas uma variável.
O risco real é:
perder credibilidade junto a clientes;
sofrer questionamento de investidores;
comprometer contratos estratégicos;
ser percebido como organização sem governança.
O impacto reputacional costuma ser maior do que o impacto regulatório. E reputação não se recompõe com documento.
A pergunta estratégica
Se um incidente ocorrer amanhã, sua organização consegue:
Delimitar o impacto em poucas horas?
Produzir evidências técnicas consistentes?
Tomar decisão fundamentada sobre comunicação?
Demonstrar processo estruturado de resposta?
Se a resposta depende de investigação improvisada, compliance ainda é papel. Em 2026, compliance é capacidade operacional.
Transformar conformidade em capacidade real
A maturidade exigida hoje passa por quatro fundamentos:
Avaliação contínua da postura de segurança.
Testes técnicos que antecipam vulnerabilidades.
Monitoramento ativo com capacidade de resposta estruturada.
Organização de evidência e logging adequados.
Não para evitar fiscalização, mas para sustentar a operação sob pressão.
Porque quando o incidente acontece, o documento não responde. Quem responde é a estrutura.
Fontes
ANPD (gov.br). Comunicado de Incidente de Segurança (CIS) — orientações e canal oficialpara comunicação de incidentes.
ANPD (gov.br). Resolução CD/ANPD nº 15/2024 — Regulamento de Comunicação de Incidentede Segurança (prazos e critérios).
ANPD (gov.br). Notícia: ANPD aprova o regulamento de comunicação de incidente de segurança — objetivos e contexto do regulamento.
ANPD (gov.br). Incidentes de segurança com dados pessoais — orientações e recomendações(avaliação interna e documentação).
ANPD (gov.br). Agenda Regulatória 2025–2026 / Mapa de temas prioritários 2026–2027 — direcionamento institucional e prioridades.
NIST (CSRC). SP 800-61 Rev. 2 — Computer Security Incident Handling Guide — ciclo de resposta a incidentes e boas práticas.
NIST (CSRC). SP 800-92 — Guide to Computer Security Log Management — fundamentos e governança de logging.
ISO/IEC. ISO/IEC 27035-1:2023 — Information security incident management — gestão de incidentes, documentação e evidências.
