Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico. Os prazos e procedimentos de comunicação de incidente seguem a Lei 13.709/2018 (art. 48) e a Resolução CD/ANPD nº 15/2024, que podem ser alteradas. Para incidente concreto, consulte advogado imediatamente. As obrigações da ShopIA enquanto operador estão nos Termos de Uso §11.
Incidente de segurança envolvendo dados pessoais ativa obrigações específicas pela LGPD. Esta página descreve quando notificar, como agir e como o ShopIA apoia.
O que é incidente de segurança
LGPD considera incidente qualquer evento adverso que possa acarretar risco ou dano relevante aos titulares de dados. Exemplos:
- Acesso indevido por pessoa não-autorizada
- Vazamento de banco de dados
- Roubo de dispositivo com dados
- Phishing bem-sucedido contra funcionário
- Erro de configuração que expõe dados publicamente
- Ataque de ransomware
- Compromisso de credenciais (login vazado)
Nem todo evento é incidente. Tentativa de invasão bloqueada não é incidente. Acesso autorizado mas indevidamente usado é.
Suas obrigações como controlador
1. Detectar e investigar
Mantenha:
- Logs de acesso ao painel
- Logs de mudanças em dados
- Alertas de comportamento anômalo
- Procedimento para investigar suspeita
O ShopIA fornece logs internos. Você pode solicitar exportação para investigação.
2. Notificar ANPD
Quando incidente pode acarretar risco ou dano relevante aos titulares, você deve notificar a ANPD em até 3 dias úteis contados do conhecimento do incidente, conforme art. 5º da Resolução CD/ANPD nº 15/2024.
Notificação inclui:
- Descrição do incidente
- Tipos de dados afetados
- Categorias de titulares afetados
- Quantidade aproximada
- Medidas técnicas adotadas
- Riscos e mitigações
- Contato do encarregado
Plataforma da ANPD: Comunicado de Incidente de Segurança (formulário online).
3. Notificar titulares afetados
Se incidente envolve risco direto aos titulares (vazamento de senha, CPF, dados financeiros, etc.):
- Notifique cada titular afetado
- Comunique de forma clara o que aconteceu
- Informe medidas que ele pode tomar (trocar senha, monitorar conta)
- Informe meios de contato para mais informações
O ShopIA pode ajudar com envio em massa via Memo ou newsletter dedicada.
4. Documentar tudo
Mantenha registro completo:
- Hora de detecção
- Como foi descoberto
- Escopo investigado
- Medidas tomadas
- Notificações enviadas
- Lições aprendidas
- Mudanças implementadas pra evitar repetição
Em caso de fiscalização, esses documentos são requeridos.
Quando incidente NÃO precisa notificar ANPD
Incidente de baixo risco não notificável:
- Acesso indevido sem efetiva exposição de dados (atacante entrou mas saiu antes de extrair)
- Erro pontual rapidamente corrigido sem cópia ou propagação
- Dados anonimizados ou criptografados que não foram efetivamente expostos
Em dúvida, prefira notificar. ANPD prefere notificação preventiva a omissão.
Cenários comuns
Cenário 1: alguém da equipe abriu link de phishing
Ações:
- Trocar senha imediatamente
- Verificar logs de acesso recentes
- Identificar o que foi acessado entre o phishing e a troca
- Se dados pessoais foram acessados → notificar ANPD e titulares afetados
Cenário 2: backup vazou em local público
Ações:
- Remover acesso público ao arquivo
- Avaliar quem pode ter acessado
- Mudar credenciais relacionadas
- Notificar ANPD e titulares (depende do conteúdo do backup)
Cenário 3: funcionário ex-colaborador exportou base
Ações:
- Revogar acesso imediatamente
- Avaliar legalidade da exportação (autorizada? não-autorizada?)
- Se não-autorizada → ação jurídica + notificação ANPD/titulares
- Reforçar processo de saída de funcionários
Cenário 4: Memo respondeu dados de outro cliente
Ações:
- Reportar ao suporte ShopIA imediatamente
- ShopIA investiga e corrige
- Avaliar escopo (foi um caso ou padrão?)
- Se padrão → notificar ANPD por se tratar de incidente sistêmico
Atenção: Conforme art. 48 §1º da LGPD e Termos §11, a ShopIA notifica sua loja em prazo razoável após confirmação do incidente envolvendo seus dados. A decisão de notificar a ANPD e os titulares afetados é sua, como controlador — a ShopIA fornece os subsídios técnicos para essa decisão.
Como o ShopIA apoia
Logs disponíveis
Sob solicitação, ShopIA fornece:
- Logs de acesso ao painel (quem entrou, quando, de onde)
- Logs de envio de mensagens (quem recebeu o quê)
- Logs de exclusão (quem foi excluído, quando, por quem)
- Logs de mudança de dados (alterações em campos sensíveis)
Suporte em investigação
Em incidentes que afetam o ShopIA, suporte ajuda:
- Identificar escopo
- Validar logs
- Confirmar exclusão de dados
- Implementar mitigação
Comunicação proativa
Se ShopIA detectar incidente que afeta sua loja, notificamos você imediatamente com:
- Descrição do incidente
- Escopo conhecido
- Medidas tomadas
- Recomendações de ação
A partir daí, você decide notificações para titulares e ANPD.
Prevenção: medidas básicas
Reduza risco de incidente:
- Senha forte e única para o painel
- Autenticação de dois fatores (em desenvolvimento — quando disponível, ative)
- Revogue acesso de ex-funcionários imediatamente
- Treinamento anti-phishing para a equipe
- Backup criptografado se exporta dados
- Não compartilhe credenciais entre pessoas — cada um seu login
Templates de comunicação
ShopIA não fornece templates jurídicos para notificação de incidente — isso requer consultoria jurídica especializada na sua situação.
A ANPD publicou orientações que ajudam a estruturar.