Como responder a um incidente de segurança de dados em um município
O risco é real
Em 2023 e 2024, dezenas de prefeituras brasileiras sofreram ataques de ransomware que comprometeram sistemas de saúde, assistência social e folha de pagamento. Os dados de cidadãos ficaram expostos ou inacessíveis por semanas. E a maioria dessas prefeituras não tinha um plano de resposta a incidentes.
O que a LGPD exige
O artigo 48 da LGPD determina que, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deve comunicar:
- A ANPD — em prazo razoável (a regulamentação indica até 3 dias úteis após o conhecimento do incidente)
- Os titulares afetados — de forma clara e transparente
Os 4 estágios do plano de resposta
1. Detecção e contenção
- Isolar sistemas comprometidos
- Acionar a equipe de TI e o DPO
- Registrar o momento e a natureza do incidente
2. Avaliação do impacto
- Quantos titulares foram afetados?
- Quais dados foram expostos ou comprometidos?
- Há dados sensíveis (saúde, biométricos) envolvidos?
3. Notificação
- Preencher o formulário de comunicação à ANPD
- Elaborar comunicado aos cidadãos afetados em linguagem acessível
- Documentar todas as ações tomadas
4. Recuperação e aprendizado
- Restaurar sistemas a partir de backups
- Revisar controles de segurança falhos
- Atualizar políticas de segurança
- Registrar lições aprendidas
Montando o Comitê de Resposta a Incidentes
Para prefeituras de médio e grande porte, recomenda-se um comitê com ao menos:
- DPO
- TI/Cibersegurança
- Assessoria jurídica
- Comunicação institucional
- Gestão (secretaria ou gabinete)
Conclusão
A pergunta não é se um incidente vai acontecer, mas quando. Prefeituras que investem em planejamento prévio sofrem consequências muito menores — tanto para os cidadãos quanto para a própria reputação institucional.