# Incidente de segurança com dados de CPF: plano de resposta conforme LGPD

> Saiba como elaborar um plano de resposta a incidentes de segurança envolvendo dados de CPF, em conformidade com as exigências da LGPD.

**Publicado:** 02/05/2024
**Autor:** Redação CPFHub.io
**URL:** https://cpfhub.io/blog/incidente-de-seguranca-com-dados-de-cpf-plano-de-resposta-lgpd

---


## Introdução

Um plano de resposta a incidente com dados de CPF segundo a [LGPD](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) deve prever: contenção imediata do vazamento, avaliação do impacto (quantos CPFs, quais dados expostos), notificação à [ANPD](https://www.gov.br/anpd) em até 3 dias úteis, comunicação aos titulares afetados e documentação de todas as ações tomadas para eventual defesa perante o regulador.

Incidentes de segurança envolvendo dados pessoais são uma realidade que nenhuma empresa está imune a enfrentar. Quando o vazamento envolve números de CPF, a gravidade se amplifica: o CPF é o principal identificador de pessoas físicas no Brasil e, nas mãos erradas, pode ser utilizado para fraudes financeiras, abertura de contas falsas e uma série de outros crimes.

A Lei Geral de Proteção de Dados (LGPD) estabelece obrigações específicas para empresas que sofrem incidentes de segurança envolvendo dados pessoais. O não cumprimento dessas obrigações pode resultar em multas que chegam a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

---

## O que a LGPD exige em caso de incidente

A LGPD (Lei 13.709/2018) define as seguintes obrigações quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados:

### Comunicação à ANPD

O controlador dos dados deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável. A comunicação deve incluir:

* **Descrição do incidente** -- Natureza dos dados pessoais afetados.
* **Informações dos titulares** -- Quantidade e categorias de titulares atingidos.
* **Medidas técnicas e de segurança** -- Medidas adotadas para proteção dos dados.
* **Riscos relacionados** -- Possíveis consequências do incidente.
* **Medidas de mitigação** -- Ações tomadas para reverter ou atenuar os efeitos.

### Comunicação aos titulares

Quando o incidente puder acarretar risco ou dano relevante, os titulares dos dados afetados também devem ser notificados, em linguagem clara e acessível.

### Registro do incidente

Independentemente da comunicação à ANPD, todo incidente deve ser registrado internamente com detalhes sobre a natureza, os dados afetados, as medidas tomadas e os resultados obtidos.

---

## Estrutura do plano de resposta a incidentes

Um plano de resposta eficiente deve seguir fases bem definidas. Cada fase possui responsabilidades, prazos e ações específicas.

### Fase 1: preparação

A preparação é a fase mais importante e deve ocorrer antes de qualquer incidente. Ela inclui:

* **Designar um encarregado (DPO)** -- Pessoa responsável por coordenar a resposta ao incidente.
* **Formar equipe de resposta** -- Incluir representantes de TI, jurídico, comunicação e operações.
* **Mapear dados de CPF** -- Identificar onde os dados de CPF são armazenados, processados e compartilhados.
* **Definir procedimentos** -- Documentar o fluxo de ações para cada tipo de incidente.
* **Treinar a equipe** -- Realizar simulações periódicas de incidentes.

### Fase 2: detecção e análise

Quando um incidente é identificado, a equipe deve agir rapidamente para avaliar sua extensão:

* **Classificar a severidade** -- Determinar o número de CPFs afetados e o tipo de exposição.
* **Identificar a origem** -- Compreender como o incidente ocorreu (ataque externo, erro interno, falha de sistema).
* **Avaliar o impacto** -- Determinar o risco real para os titulares dos dados.

### Fase 3: contenção

O objetivo da contenção é impedir que o incidente se expanda:

* **Isolar sistemas afetados** -- Desconectar servidores comprometidos da rede.
* **Revogar credenciais** -- Alterar senhas e revogar chaves de API que possam ter sido comprometidas.
* **Bloquear acessos** -- Impedir novos acessos não autorizados.

### Fase 4: erradicação e recuperação

Após a contenção, é necessário eliminar a causa do incidente e restaurar os sistemas:

* **Corrigir vulnerabilidades** -- Aplicar patches e corrigir falhas de segurança identificadas.
* **Restaurar sistemas** -- Recuperar dados a partir de backups confiáveis.
* **Verificar integridade** -- Confirmar que os sistemas restaurados estão íntegros e seguros.

### Fase 5: notificação

Com base na análise do incidente, proceder às notificações obrigatórias:

* **ANPD** -- Em prazo razoável, com todas as informações exigidas pela LGPD.
* **Titulares** -- Se houver risco relevante, notificar os titulares afetados com orientações claras.

### Fase 6: lições aprendidas

Após a resolução do incidente, documentar tudo o que aconteceu e implementar melhorias:

* **Relatório pós-incidente** -- Documentar cronologia, ações tomadas e resultados.
* **Atualizar procedimentos** -- Incorporar as lições aprendidas ao plano de resposta.
* **Fortalecer controles** -- Implementar novas medidas de segurança para prevenir recorrência.

---

## Medidas preventivas para proteger dados de CPF

A melhor forma de lidar com incidentes é preveni-los. Quando sua aplicação precisa consultar e armazenar dados de CPF, adote as seguintes práticas:

### Minimizar o armazenamento

Armazene apenas os dados de CPF estritamente necessários para a finalidade declarada. Se sua aplicação precisa apenas validar o CPF, considere não armazenar o resultado da consulta.

### Utilizar APIs com conformidade LGPD

Ao integrar APIs de consulta de CPF, escolha provedores que operam em conformidade com a LGPD. A [**CPFHub.io**](https://www.cpfhub.io/) opera com base nas diretrizes da LGPD, sem armazenar dados além do necessário para a finalidade da consulta, facilitando a demonstração de conformidade em caso de auditoria.

### Criptografar dados em repouso e em trânsito

Todos os dados de CPF armazenados devem ser criptografados. A comunicação com APIs externas deve utilizar HTTPS exclusivamente.

### Implementar controle de acesso

Limite o acesso aos dados de CPF apenas aos sistemas e pessoas que realmente precisam deles. Utilize o princípio do menor privilégio.

### Exemplo de consulta segura à API

```python
import requests
import hashlib
import logging
from datetime import datetime

# Configurar logging de auditoria
logging.basicConfig(filename='cpf_audit.log', level=logging.INFO)

def consultar_cpf_seguro(cpf: str, api_key: str, finalidade: str) -> dict:
 """
 Consulta CPF via API com registro de auditoria para conformidade LGPD.
 """
 cpf_limpo = ''.join(filter(str.isdigit, cpf))

 # Registrar a consulta (sem armazenar o CPF completo no log)
 cpf_hash = hashlib.sha256(cpf_limpo.encode()).hexdigest()
 logging.info(f'Consulta CPF - Hash: {cpf_hash} - Finalidade: {finalidade} - Timestamp: {datetime.utcnow().isoformat()}')

 url = f'https://api.cpfhub.io/cpf/{cpf_limpo}'
 headers = {
 'x-api-key': api_key,
 'Accept': 'application/json'
 }

 response = requests.get(url, headers=headers, timeout=10)
 data = response.json()

 # Registrar resultado (sem dados pessoais no log)
 logging.info(f'Resultado - Hash: {cpf_hash} - Sucesso: {data.get("success")}')

 return data
```

---

## Checklist de resposta a incidentes com CPF

| Etapa | Ação | Prazo |
| --- | --- | --- |
| 1 | Identificar e classificar o incidente | Imediato |
| 2 | Acionar equipe de resposta | Até 1 hora |
| 3 | Conter o incidente (isolar sistemas) | Até 4 horas |
| 4 | Avaliar extensão (CPFs afetados) | Até 24 horas |
| 5 | Comunicar ANPD | Prazo razoável |
| 6 | Notificar titulares (se aplicável) | Após comunicação à ANPD |
| 7 | Erradicar a causa | Conforme complexidade |
| 8 | Restaurar sistemas | Após erradicação |
| 9 | Elaborar relatório pós-incidente | Até 30 dias |
| 10 | Implementar melhorias | Contínuo |

---

## Penalidades previstas na LGPD

O descumprimento das obrigações relacionadas a incidentes de segurança pode resultar em:

* **Advertência** -- Com indicação de prazo para adoção de medidas corretivas.

* **Multa simples** -- De até 2% do faturamento no último exercício, limitada a R$ 50 milhões por infração.

* **Multa diária** -- Para obrigar a cessação de violações.

* **Publicização da infração** -- Após devidamente apurada e confirmada.

* **Bloqueio ou eliminação dos dados** -- A ANPD pode determinar o bloqueio ou a eliminação dos dados pessoais envolvidos.

---

## Perguntas frequentes

### Qual a primeira ação quando a empresa detecta vazamento de CPFs?
Contenção imediata: isolar o sistema afetado, revogar credenciais comprometidas e preservar logs forenses. Paralelo a isso, notificar o DPO (Data Protection Officer) e a liderança. A contenção rápida limita o dano e demonstra boa-fé perante a ANPD — um fator atenuante nas penalidades.

### Como avaliar se um incidente com CPF é "relevante" para notificar a ANPD?
A ANPD orienta que incidentes que possam causar dano relevante aos titulares devem ser notificados. Para CPF, considere: volume de registros expostos, se dados sensíveis (saúde, financeiro) estão associados, se o acesso foi de mal-intencionados e se há risco real de uso fraudulento. Em dúvida, notifique — o custo de notificar indevidamente é menor que o de omitir.

### O que deve constar na comunicação aos titulares afetados por vazamento de CPF?
A comunicação deve incluir: descrição do incidente em linguagem acessível, quais dados foram expostos, o que a empresa está fazendo para resolver, quais medidas o titular pode tomar para se proteger (monitorar crédito, alertar bancos) e canal de contato para dúvidas. Linguagem técnica e evasiva aumenta a percepção de negligência.

### Quanto tempo após o incidente a empresa deve manter documentação sobre ele?
Indefinidamente, ou pelo menos por 5 anos. A documentação do incidente — logs, comunicações internas, relatórios à ANPD, respostas a titulares — pode ser solicitada pela ANPD mesmo anos após o evento em investigações ou processos administrativos.

### Leia também

- [LGPD: CPF é dado pessoal sensível ou não? Entenda a classificação correta](https://cpfhub.io/blog/lgpd-cpf-e-dado-pessoal-sensivel-ou-nao-entenda-a-classificacao-correta)
- [Exigências da ANPD para dados de CPF via APIs](https://cpfhub.io/blog/exigencias-da-anpd-para-tratamento-de-dados-de-cpf-via-apis-de-terceiros)
- [KYC no Brasil: quais setores são obrigados a validar CPF por lei](https://cpfhub.io/blog/kyc-no-brasil-quais-setores-sao-obrigados-a-validar-cpf-por-lei)
- [Como atender às exigências do COAF para PLD/FT usando validação de CPF](https://cpfhub.io/blog/como-atender-as-exigencias-do-coaf-para-pld-ft-usando-validacao-de-cpf)

---

## Conclusão

Um plano de resposta a incidentes de segurança envolvendo dados de CPF não é apenas uma exigência legal -- é uma necessidade operacional para qualquer empresa que trata dados pessoais de brasileiros. A LGPD estabelece obrigações claras de notificação, registro e mitigação que devem ser seguidas sob pena de sanções severas.

A prevenção, no entanto, continua sendo a melhor estratégia. Ao utilizar APIs de CPF que operam em conformidade com a LGPD, implementar criptografia, controle de acesso e minimização de dados, sua empresa reduz significativamente o risco de incidentes e, caso eles ocorram, estará preparada para responder de forma adequada e dentro dos prazos legais.

Integre a [**CPFHub.io**](https://www.cpfhub.io/) ao seu fluxo de consulta de CPF com 50 consultas gratuitas mensais e registros de auditoria inclusos — acesse [cpfhub.io](https://www.cpfhub.io/) para começar.