Checklist de notificacao de violacoes de dados pessoais para founders e lideres de compliance

A notificacao de violacoes de dados pessoais funciona melhor quando a equipe passa rapidamente da incerteza para uma decisao documentada. A checklist e pratica: confirmar se ha dados pessoais, abrir um registro de avaliacao, atribuir responsaveis, avaliar risco para pessoas, decidir se autoridade ou titulares devem ser informados, preservar evidencias e acompanhar a remediacao ate o encerramento.

Pelo artigo 33 do GDPR, o controlador deve notificar a autoridade competente sem demora indevida e, quando possivel, em ate 72 horas apos tomar conhecimento da violacao, salvo se for improvavel que resulte em risco para direitos e liberdades das pessoas. O artigo 34 adiciona comunicacao aos titulares quando houver probabilidade de alto risco. O operador deve informar o controlador sem demora indevida.

O que esta checklist evita

Muitas falhas comecam antes da decisao de notificar. A equipe ve um evento de seguranca, mas nao sabe se dados pessoais estavam envolvidos. Security contem o incidente, mas privacy e legal nao recebem fatos suficientes. Customer success fica sabendo antes de as obrigacoes contratuais serem mapeadas. A lideranca pergunta sobre as 72 horas, mas ninguem sabe o momento de conhecimento.

Esta checklist conecta incident response, avaliacao de privacidade, obrigacoes com clientes, vendor management e evidencias de auditoria.

A checklist

Use para qualquer incidente de seguranca ou dados que possa envolver dados pessoais em producao, suporte, logs, analytics, CRM, backups, recursos de IA, plataformas de fornecedores, sistemas de funcionarios ou datasets de clientes.

1. Abra o registro de avaliacao

Nao espere saber se o incidente e notificavel. O registro e onde a decisao e tomada. Inclua titulo, referencia, hora de deteccao, canal, primeiro revisor, possivel momento de conhecimento, sistemas envolvidos, contencao inicial, owners de incidente, privacidade, legal, seguranca e comunicacao, status, fatos em aberto e proxima revisao.

2. Confirme se ha dados pessoais

A definicao do GDPR cobre destruicao, perda, alteracao, divulgacao nao autorizada ou acesso nao autorizado a dados pessoais. Ela inclui confidencialidade, integridade e disponibilidade. Pergunte se pessoas identificadas ou identificaveis estao envolvidas, se usuarios, funcionarios, leads, admins, logs, anexos, exportacoes, backups, analytics ou prompts de IA foram afetados, e se os dados foram expostos, alterados, perdidos ou ficaram indisponiveis.

3. Identifique o papel da empresa

Uma empresa SaaS pode ser controladora para dados de funcionarios, prospects, billing, analytics ou contas, e operadora para conteudo de clientes. Para cada dataset, registre papel, processo ou cliente, contrato ou DPA, prazo de aviso e decisor.

4. Reuna os fatos minimos do artigo 33

Colete categorias e numero aproximado de pessoas, categorias e numero aproximado de registros, tipos de dados, janela temporal, acesso, download, divulgacao, alteracao, perda ou indisponibilidade, contencao, consequencias provaveis e medidas tomadas ou propostas.

5. Avalie risco e alto risco separadamente

Artigo 33 e artigo 34 usam limiares diferentes. Avalie sensibilidade, identificabilidade, gravidade, probabilidade de abuso, credenciais, dados financeiros, saude, categorias especiais, criancas, criptografia, duracao, escala e evidencia de acesso real.

6. Decida quem informar

Separe autoridade, titulares, clientes, fornecedores, seguradora, lideranca interna e conselho. Para cada publico, registre obrigacao, base, prazo, owner, aprovador, conteudo e follow-up. Para clientes, verifique DPA e contrato.

7. Prepare o pacote de evidencias

Guarde timeline, logs, tickets, capturas, notas tecnicas, analise de escopo, papel, avaliacao de risco, decisoes, aprovacoes, copias de notificacoes, remediacao, causa raiz e melhorias de controle.

8. Feche o ciclo

Notificacao nao encerra o incidente. Confirme que configuracoes, permissoes, codigo ou problemas de fornecedores foram corrigidos, clientes receberam atualizacoes, comunicacao aos titulares foi reavaliada, evidencias foram preservadas e processos de produto, seguranca, suporte e fornecedores foram atualizados.

FAQ

O que equipes devem entender?

Que notificacao de violacoes e um workflow sensivel ao tempo com fatos de seguranca, avaliacao de privacidade, decisoes legais, obrigacoes com clientes, evidencias e remediacao.

Quando se aplica a equipes SaaS?

Quando uma violacao de seguranca afeta dados pessoais por destruicao, perda, alteracao, divulgacao nao autorizada, acesso nao autorizado ou indisponibilidade.

O que documentar primeiro?

Hora de deteccao, possivel momento de conhecimento, sistemas e dados afetados, papel da empresa, contencao, owners, fatos abertos e proxima revisao.

Fontes

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.