"Espere o inesperado." Essa frase está gravada na entrada do Quake, Centro do Terramoto de Lisboa, foi a primeira coisa que li ao visitar o museu, no início de junho de 2026, durante a viagem a Portugal para o lançamento do livro coletivo que coordenei, Proteção de Dados e Segurança da Informação: Diálogos entre Brasil e Portugal, realizado na Universidade Europeia.
O museu, inaugurado em Belém em 2022, recria com rigor científico a experiência do terremoto ocorrido em 1755 e a reconstrução que se seguiu. Ele não conta apenas a história de uma tragédia: conta a história de uma resposta.
Nesta época, Lisboa não tinha planos, não tinha protocolos, não tinha cadeia de comando para desastres. Não era negligência: era o estado natural das coisas em meados do século XVIII, quando a própria ideia de gestão de riscos coletivos ainda não existia.
O que Marquês de Pombal fez foi construir uma resposta do zero, sob escombros, enquanto a cidade ainda ardia. A frase a ele atribuída resume tudo: "Enterrem-se os mortos e cuidem-se dos vivos". Dali nasceu a Baixa Pombalina e a inovadora gaiola pombalina, primeiro sistema construtivo antissísmico moderno e um dos primeiros modelos de resposta organizada a desastres.
Saí do Quake pensando em incidentes de segurança com dados pessoais. A analogia é direta, mas com uma diferença fundamental: as organizações do século XXI não estão no século XVIII. Elas têm lei, regulamentação, guias técnicos e precedentes sancionatórios. A ausência de preparo, hoje, não é uma limitação histórica. É uma escolha e na LGPD, tal despreparo é uma violação legal.
O que a lei exige, e o que a ANPD já puniu
O art. 48 da LGPD obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A resolução CD/ANPD 15/24, que aprovou o RCIS - Regulamento de Comunicação de Incidentes de Segurança, foi além e fixou prazo de três dias úteis para essa comunicação, definiu critérios objetivos para identificar quais incidentes exigem comunicação, como dados sensíveis, dados de crianças, dados financeiros, entre outros, e exigiu que o comunicado ao titular seja direto, individualizado e escrito em linguagem simples.
A ANPD já demonstrou que leva essa obrigação a sério. Conforme narrado por José Renato Laranjeira de Pereira e Thiago Guimarães Moraes, no comentário ao art. 48 da obra lei Geral de Proteção de Dados Pessoais Comentada, coordenada por Laura Schertel Mendes (Editora Forense, 2026), os dois casos sancionatórios por violação ao art. 48 registrados até dezembro de 2023 revelam um padrão claro: no caso do Iamspe, a ANPD concluiu que o instituto não realizou a comunicação em tempo razoável e, mesmo quando o fez, seu teor foi insuficiente, estando ausentes elementos exigidos pelo § 1º do art. 48. A infração foi classificada como grave porque o incidente envolveu dados de crianças e adolescentes. No caso da Secretaria de Saúde de Santa Catarina, a comunicação demorou cerca de oito meses e foi publicada em página escondida do sítio eletrônico, mostrando-se inadequada para que os titulares afetados tomassem ciência do ocorrido.
Em ambos os casos, a lição é a mesma: não basta comunicar. É preciso fazê-lo no prazo certo, com conteúdo completo e de forma que os titulares efetivamente sejam alcançados.
O retrato do setor público, e o que o TCU encontrou
Se os casos da ANPD mostram o que acontece depois do incidente sem preparo, o acórdão TCU 1.372/25-Plenário mostra o que existe antes. A mais abrangente auditoria já realizada sobre adequação de órgãos públicos federais à LGPD avaliou 387 organizações e revelou um cenário que, para usar uma metáfora já familiar, lembra cidades sem plano de emergência: apenas 32,82% tinham Plano de Resposta a Incidentes elaborado; apenas 35,4% executavam procedimentos padronizados para comunicar incidentes à ANPD e aos titulares; e somente 34,11% registravam, em sistema próprio, as ações adotadas para responder ao incidente. Em outras palavras: a maioria das organizações públicas federais, diante de um incidente hoje, estaria construindo o plano enquanto o terremoto ainda acontece.
O TCU foi além dos números. O item 100 do relatório de auditoria, incorporado ao acórdão, determinou que as organizações adotem mecanismos para monitorar proativa e continuamente os eventos que podem sinalizar, por sinais precursores e indicadores, a ocorrência de incidentes de segurança associados à violação de dados pessoais.
Já o item 9.1.8.2 do acórdão recomendou que as unidades de auditoria interna avaliem periodicamente a efetividade das medidas e das práticas operacionais já implementadas, o que abrange, necessariamente, o próprio plano de resposta.
Neste contexto, um plano que existe no papel, mas nunca foi exercitado ou auditado, oferece segurança apenas aparente, e é exatamente esse tipo de fragilidade que o TCU identificou em larga escala.
O plano de resposta: Construir antes, não durante
Como desenvolvi em artigo técnico publicado na obra Proteção de Dados e Segurança da Informação: Diálogos entre Brasil e Portugal, lançada em Lisboa, um plano efetivo precisa contemplar ao menos cinco dimensões: (i) identificação e classificação do incidente; (ii) cadeia de notificação interna predefinida; (iii) contenção e mitigação imediatas; (iv) comunicação externa à ANPD e aos titulares, com modelos já preparados; e (v) análise pós-incidente com revisão do próprio plano.
O ponto crítico, como demonstra o fluxo integrado baseado no modelo NIST e no Guia PPSI/SGD v3.3, está na transição entre a detecção e a comunicação: é nesse intervalo que o controlador precisa, simultaneamente, classificar o risco, decidir sobre a notificação e acionar os canais certos, tudo dentro do prazo de três dias úteis. Sem procedimentos predefinidos, esse gargalo é intransponível.
Para uma visualização esquemática e completa desse fluxo integrado, incluindo os gatilhos de cada fase e os prazos regulatórios correspondentes, recomenda-se a consulta à Figura 1 do artigo Aspectos relevantes e práticos de plano de respostas a incidentes de segurança com dados pessoais, publicado na obra Proteção de Dados e Segurança da Informação: Diálogos entre Brasil e Portugal (Editora Império, 2026).
A própria LGPD, no art. 50, § 2º, I, alínea "g", torna essa obrigação explícita: o programa de governança em privacidade deve conter planos de resposta a incidentes e remediação. Não se trata, portanto, de boa prática recomendável. É requisito legal e, conforme analisado por Marcela Mattiuzzo e Helena Secaf dos Santos, no comentário ao art. 50 da obra lei Geral de Proteção de Dados Pessoais Comentada, coordenada por Laura Schertel Mendes (Editora Forense, 2026), a adoção de boas práticas e governança, nos termos da resolução CD/ANPD 4/23, funciona como circunstância atenuante em eventual aplicação de multa, o que reforça ainda mais o caráter estratégico de um plano de resposta bem estruturado.
Voltei de Lisboa com a sensação de que o Quake não é apenas um museu sobre um terremoto do passado. É um lembrete sobre como respondemos ao inesperado, e sobre o quanto essa resposta depende do que construímos antes, não durante. Pombal não tinha escolha: construiu no caos porque não havia outra opção. As organizações que hoje tratam dados pessoais têm todas as ferramentas, normas e exemplos de que precisam. O que ainda falta, em muitos casos, é a decisão de agir antes que o chão comece a tremer. Pensei nisso ao sair do Quake, naquela tarde de junho, com três palavras ainda ecoando: espere o inesperado.
__________
BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Regulamento de Comunicação de Incidente de Segurança. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-abril-de-2024-556243024
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos. Secretaria de Governo Digital. Guia de Resposta a Incidentes de Segurança (PPSI). Versão 3.3. Brasília: SGD, jul. 2024. Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/ppsi/guia_resposta_incidentes.pdf
BRASIL. Tribunal de Contas da União. Acórdão nº 1.372/2025-TCU-Plenário. TC 009.980/2024-5. Relator: Ministro Walton Alencar Rodrigues. 2025. Disponível em: . Acesso em: 23 jun. 2026.
FÓRUM DO PATRIMÓNIO. A estrutura "anti-sísmica" Gaiola Pombalina. Disponível em: https://www.youtube.com/watch?v=EM09RQOnZS8. Acesso em 23 jun. 2026.
MENDES, Laura Schertel (coord.). Lei Geral de Proteção de Dados Pessoais Comentada. Comentário ao art. 48 por José Renato Laranjeira de Pereira e Thiago Guimarães Moraes. São Paulo: Editora Forense, 2026.
QUAKE, Centro do Terramoto de Lisboa. Museu imersivo sobre o terremoto de 1755. Belém, Lisboa. Disponível em: https://lisbonquake.com
SILVA JUNIOR, Silvio Maciel e. Aspectos relevantes e práticos de plano de respostas a incidentes de segurança com dados pessoais. In: LIMA, Ana Paula Canto de. SILVA JUNIOR, Silvio Maciel e. CARDOSO, Oscar Valente. Proteção de Dados e Segurança da Informação: Diálogos entre Brasil e Portugal. Recife: Editora Império, 2026.