Comunicação a Stakeholders Durante Incidente
Resposta direta
Comunicar incidente errado vira segundo incidente. Vazamento prematuro à imprensa cria especulação. Comunicação tardia ao cliente vira processo. ANPD não notificada em 72h vira multa. Esta matriz alinha audiência, mensagem, momento e o que NÃO dizer.
Por que comunicação durante incidente é diferente
Em incidente cyber, cada audiência tem necessidades distintas e qualquer mensagem viral cria responsabilidade. Comunicar tudo a todos cria pânico e pode violar sigilo de investigação. Não comunicar viola obrigação legal (LGPD Art. 48). O equilíbrio é: cada audiência recebe a mensagem CERTA, no momento CERTO, com nível de detalhe ADEQUADO. Coordenação entre técnico, jurídico, comunicação e CEO é obrigatória.
Matriz de comunicação por audiência
- 1.CEO / Conselho (0-6h). Fato: 'sofremos incidente, está em contenção, sem decisão de pagamento ou comunicação pública ainda'. Foco: impacto estimado e janela de decisão. NÃO especule sobre culpa ou origem.
- 2.Jurídico interno + seguradora cyber (0-12h). Detalhe técnico: variante, escopo afetado, dados pessoais potencialmente vazados. Privilegio jurídico. NÃO comunique sem envolver legal — eles definem o que pode/não pode sair.
- 3.DPO + ANPD (até 72h se dado pessoal). Notificação formal seguindo template ANPD. Inclui: natureza, dados afetados, número de titulares, medidas adotadas. Lei: Art. 48 LGPD. Multa por não notificação: 2% do faturamento, até R$ 50M.
- 4.Colaboradores internos (24-48h). Mensagem coordenada do CEO. Foco: 'incidente em curso, contenção em andamento, instruções para colaboradores: o que NÃO clicar, NÃO postar em redes'. Evita rumor interno e vazamento via funcionário.
- 5.Clientes afetados (após confirmação técnica). Comunicação clara, sem jargão: 'identificamos incidente que pode ter afetado seus dados X, Y, Z. Medidas: A, B. Recomendamos: trocar senha em Z dias.' LGPD exige até 72h da confirmação. Antes disso = especulação.
- 6.Imprensa / mercado (último, coordenado). Quando? Só quando há fatos confirmados e a empresa controla a narrativa. Comunicado preparado por agência especializada em crise. Não comente especulações. Foco em 'medidas adotadas', não em 'culpa'.
Perguntas frequentes
Posso esperar para notificar ANPD?
Não além de 72h após ciência. Lei 13.709/2018 (LGPD) Art. 48 e Resolução ANPD 15/2024 definem prazo. Multa por não notificação chega a 2% do faturamento. Exceções limitadas a casos com risco baixo documentado.
Devo comunicar o ataque publicamente?
Depende. Se há dado pessoal vazado: sim, aos titulares afetados. Se é empresa pública (capital aberto): material fact ao mercado conforme regulação (CVM). Para empresa privada sem dado pessoal afetado: comunicação pública é decisão estratégica, não obrigação legal.
Como evitar especulação interna?
Mensagem oficial do CEO até 48h após descoberta. Mensagem coordenada de TI sobre o que fazer/não fazer. Canal específico para perguntas (email dedicado). Quando há vácuo de comunicação, especulação preenche.
O que dizer se imprensa ligar antes de termos resposta?
'Estamos investigando incidente de segurança e tomando todas as medidas técnicas e legais cabíveis. Daremos atualização quando tivermos fatos confirmados.' Não negue, não detalhe. Encaminhe para porta-voz designado.
Como medir sucesso da comunicação?
Indicadores: (1) Tempo até notificação ANPD < 72h. (2) Volume de churn entre clientes afetados nos 90 dias seguintes. (3) Cobertura de imprensa: % de citações que mencionam medidas vs % especulando culpa. (4) NPS pós-incidente entre afetados.
Precisa de apoio em comunicação de incidente?
Apoio técnico para redação de notificação ANPD + posicionamento de imprensa.