ContaClara
Conformidade · 14 min de leitura

Incidente em telecom corporativo: as 72 horas que a ANPD cobra

Notificação de incidente em até 72h (Res. CD/ANPD 15/2024) em telecom corporativo: o erro que faz o prazo virar atenuante perdida e o procedimento operacional cravado.

Sumário do artigo · 20 seções
TL;DR

Resolução CD/ANPD 15/2024 orientou comunicação de incidente envolvendo dados pessoais em "prazo razoável" — consolidado na prática em 72 horas da confirmação. Em telecom corporativo, o incidente típico (vazamento de detalhado de chamadas, exposição de relatório com ramais sem mascaramento, acesso não autorizado ao painel de fatura) atravessa a cadeia Controlador → Operador → Subprocessador, e cada elo precisa avisar o anterior em janela menor pra fechar 72h ao final. Este post mostra o ciclo das 72h em telecom, o erro que mais derruba o prazo e o procedimento operacional cravado.

Tem um número que entrou no vocabulário operacional do compliance corporativo brasileiro em 2024 e virou métrica de fechamento de mês em 2026: 72 horas. É o prazo que a Resolução CD/ANPD nº 15/2024 consolidou pra comunicação à ANPD quando há incidente envolvendo dados pessoais. Em telecom corporativo, esse número atravessa uma cadeia de três elos (Controlador → Operador → Subprocessador) e cada elo precisa avisar o anterior em janela menor pra que o relógio das 72h ao final feche.

Em telecom corporativo, o incidente típico (vazamento de detalhado de chamadas, exposição de relatório com ramais sem mascaramento, acesso não autorizado ao painel de fatura) atravessa a cadeia Controlador → Operador → Subprocessador. Cada elo precisa avisar o anterior em janela menor pra fechar 72h ao final. Sem procedimento cravado em DPA, a janela vira impossível de cumprir.

Este post não substitui assessoria jurídica especializada em LGPD/proteção de dados — documenta o que está cravado na Resolução CD/ANPD 15/2024, no art. 48 da LGPD, e o que vimos repetidamente no procedimento operacional de empresas com 100+ linhas corporativas.

Em LGPD em telecom corporativo: o que muda em 2026 cobrimos as três obrigações práticas (DPA, retenção e 72h). Em DPA telecom corporativo em 2026: o que exigir da operadora aprofundamos só o DPA. Este post aprofunda só a notificação 72h — o ciclo, o erro mais comum e o procedimento operacional.

Recapitulando: o que diz a Resolução CD/ANPD 15/2024

Publicada em abril de 2024 pela Autoridade Nacional de Proteção de Dados, a Resolução nº 15/2024 detalhou o procedimento de comunicação de incidente de segurança envolvendo dados pessoais. Pontos principais:

  • A comunicação deve ser feita em “prazo razoável” — na prática regulatória brasileira e por alinhamento internacional (GDPR), consolidou em 72 horas da confirmação do incidente
  • A obrigação se aplica quando o incidente representar risco relevante a titulares — não todo incidente vira comunicação à ANPD, mas todo incidente precisa entrar em procedimento interno de avaliação
  • A base legal é o art. 48 da LGPD, que obriga o Controlador a comunicar à ANPD e ao titular em prazo razoável
  • A comunicação inicial pode ser preliminar (com informações disponíveis no momento) e atualizada subsequentemente conforme investigação avança

A Resolução 15/2024 trouxe procedimento. Antes dela, a redação do art. 48 era genérica (“prazo razoável”) e empresas não sabiam o que era razoável. Agora há baliza prática.

Os 5 tipos de incidente típicos em telecom corporativo

Em telecom corporativo de empresa com 100+ linhas, cinco categorias de incidente cobrem 85-90% dos casos:

Tipo 1 — Vazamento de detalhado de chamadas

O detalhado da fatura (CSV/XLSX) saiu por e-mail aberto, virou anexo em conversa de WhatsApp, foi copiado pra pasta compartilhada sem controle de acesso. Contém número de linha + nome do colaborador + padrão de uso. Dado pessoal exposto.

Frequência: o tipo mais comum. Em parque 100+ linhas vimos relatos trimestrais de exposição não intencional.

Tipo 2 — Acesso não autorizado ao painel da operadora

Credencial de gestão da conta da operadora foi comprometida (phishing, senha reusada, ex-colaborador com acesso ativo). Atacante (interno ou externo) visualizou fatura, consumo, ou conseguiu cadastrar nova linha.

Frequência: baixa, mas grave. Quando acontece, exposição abrange o parque inteiro.

Tipo 3 — Exposição de relatório com ramais sem mascaramento

Relatório gerencial exportado da plataforma de gestão de fatura saiu sem mascaramento de ramais ou números de linha. Atravessou e-mail, sistema de aprovação, ferramenta de BI — cada cópia virou ponto adicional de exposição.

Frequência: mais comum quando há rateio por departamento (relatório circula entre múltiplas áreas).

Tipo 4 — Comprometimento de sistema do Operador

Incidente no datacenter da operadora, no portal de gestão, na plataforma de bilhetagem. O Controlador (sua empresa) não causa o incidente, mas é afetado — dado dos colaboradores foi exposto.

Frequência: depende do Operador. Operadoras grandes têm controle robusto; subprocessadores menores são pontos de risco.

Tipo 5 — Subprocessador comprometido

Call center terceirizado da operadora, provedor de infra cloud, plataforma de bilhetagem — qualquer subprocessador da operadora teve incidente. A operadora avisa, sua empresa precisa decidir se há risco aos titulares.

Frequência: baixa, mas é o cenário mais complexo de gerenciar — dependência total do mapeamento de subprocessadores no DPA.

A cadeia das 72h — quem avisa quem em que janela

A janela de 72h vale para o Controlador (sua empresa) comunicar à ANPD. Mas o incidente raramente é detectado pelo Controlador direto. Geralmente:

  1. Subprocessador detecta o incidente (call center, infra cloud, bilhetagem) — hora T+0
  2. Subprocessador investiga internamente e notifica o Operador — janela típica de 12-24h da detecção
  3. Operador (operadora de telecom) recebe a notificação, confirma com investigação adicional e notifica o Controlador (sua empresa) — janela típica de 24h da confirmação
  4. Controlador (sua empresa) recebe, avalia gravidade e — se houver risco relevante a titulares — notifica a ANPD em até 72h totais

Janelas operacionais cravadas em DPA bem-feito:

  • Subprocessador → Operador: 24h da detecção
  • Operador → Controlador: 24h da confirmação OU 48h da detecção (o que for menor)
  • Controlador → ANPD: 72h totais a partir da confirmação interna do Controlador

Por que cada janela importa: se o Subprocessador detecta hoje e demora 60h pra avisar a Operadora, a Operadora demora 24h pra confirmar e avisar o Controlador, o Controlador recebe a notícia já com 84h decorridas — passou do prazo, e a comunicação à ANPD vai virar “atenuante perdida” no procedimento sancionatório.

A defesa é cravar essas janelas no DPA com Operador e Subprocessadores. Ver DPA telecom corporativo em 2026: o que exigir da operadora pra cláusulas detalhadas.

O erro mais comum — esperar 100% de certeza

Em conversas com DPOs e jurídicos corporativos em 2026, o erro recorrente que vira atenuante perdida é exatamente o oposto do que parece intuitivo: esperar 100% de certeza antes de notificar.

A lógica intuitiva é: “vamos investigar primeiro, só notificamos quando souber que houve incidente”. A consequência: passa 72h em investigação interna, descobre que houve incidente, comunica à ANPD com 96h+. Atenuante perdida.

O que a Resolução 15/2024 e a prática internacional consolidaram:

  • Comunicação inicial pode ser preliminar, com informações disponíveis no momento
  • Texto da comunicação preliminar pode ser: “Houve indício de incidente envolvendo [categoria de dados], detectado em [data/hora]. Investigação em curso. Estimativa de titulares afetados: [N]. Medidas iniciais adotadas: [lista]. Atualização prevista para [data].”
  • Atualizações subsequentes acompanham a investigação — não é necessário fechar todas as informações no momento da comunicação inicial

Quando se tem 70% de certeza do incidente, vale notificar com o que se sabe + cronograma de atualização. Quando se chega a 100%, manda atualização. O prazo das 72h fica cumprido.

O segundo erro — ausência de procedimento interno

O segundo erro mais comum em fiscalização não é perder o prazo. É não ter procedimento documentado de incidente.

Quando o incidente acontece, ninguém sabe:

  • Quem é o responsável por receber a notificação (DPO? jurídico? CISO? segurança?)
  • Quem investiga (TI? equipe externa de resposta a incidente?)
  • Quem decide se notifica ANPD (DPO autonomamente? CFO precisa aprovar?)
  • Quem assina a comunicação preliminar
  • Quem comunica os titulares afetados quando aplicável

A consequência operacional: 24h se passam só pra decidir quem decide. O relógio das 72h corre.

A defesa:

  1. Procedimento documentado — fluxograma de papéis e prazos, aprovado por jurídico/DPO, conhecido pela área de TI/segurança
  2. Treinamento anual — todas as pessoas que podem receber notificação de incidente sabem o que fazer
  3. Mock de incidente trimestral — simulação curta (1h) de incidente fictício pra testar o procedimento

Em fiscalização, ausência de procedimento documentado é tão grave quanto perder o prazo. Procedimento conta como medida de governança — defesa de diligência.

O procedimento operacional padrão — modelo

Para empresa que não tem procedimento cravado, modelo enxuto que cabe em uma página:

Etapa 1 — Recebimento (T+0)

  • Quem recebe: e-mail padrão incidente@suaempresa.com.br monitorado pelo DPO + jurídico + CISO
  • Notificações automáticas: Operador → e-mail; Subprocessador → Operador → e-mail
  • Sistema interno: ticket aberto automaticamente em sistema de chamados (ServiceNow ou similar)

Etapa 2 — Triagem (T+0 a T+4h)

  • DPO confirma recebimento e classifica gravidade preliminar
  • Critérios de classificação: número estimado de titulares · tipo de dado · possibilidade de uso indevido · cobertura geográfica
  • Decisão preliminar: incidente que provavelmente exigirá comunicação à ANPD (sim/não/em investigação)

Etapa 3 — Investigação (T+4h a T+48h)

  • Time técnico investiga origem, vetor, escopo
  • DPO mantém log da investigação em audit trail
  • Comunicação informal com Operador/Subprocessador para fechar cronograma

Etapa 4 — Decisão de comunicar (T+48h a T+60h)

  • DPO + jurídico + diretor responsável (CFO, COO ou equivalente) decidem se há risco relevante a titulares
  • Critério: dado sensível + alto volume + possibilidade de identificação + ausência de criptografia em transit/repouso = sim
  • Decisão registrada em ata curta com justificativa

Etapa 5 — Comunicação à ANPD (T+60h a T+72h)

  • Texto de comunicação preliminar enviado por canal oficial ANPD
  • Comunicação aos titulares quando aplicável (geralmente fica para etapa subsequente, após investigação completa)
  • Início do cronograma de atualizações à ANPD

Etapa 6 — Atualização e encerramento (T+72h em diante)

  • Atualizações enviadas conforme investigação avança
  • Quando investigação fecha, comunicação final com:
    • Descrição completa do incidente
    • Causa raiz
    • Medidas corretivas adotadas
    • Procedimento de prevenção de reincidência

Etapa 7 — Pós-incidente (semana 2-4)

  • Revisão do procedimento à luz do que funcionou e não funcionou
  • Atualização de DPA com Operador/Subprocessador se houver gap descoberto
  • Treinamento adicional para áreas envolvidas se aplicável

Audit trail — a prova de diligência

A Resolução 15/2024 e a prática regulatória valorizam audit trail. Em fiscalização, o que protege a empresa é mostrar:

  1. Timestamp de cada evento — quando o Operador notificou, quando DPO recebeu, quando triagem aconteceu, quando decisão de comunicar foi tomada
  2. Rastreabilidade de acesso — quem acessou o painel de gestão, quando, de qual IP, qual ação
  3. Decisões documentadas — ata da reunião de decisão de comunicar, mesmo que seja só duas linhas
  4. Comunicação ao titular — quando aplicável, como foi feita, comprovante de recebimento

Audit trail bem-feito vira defesa de diligência — mostra à ANPD que a empresa não negligenciou, que o procedimento foi seguido. Audit trail ausente vira agravante.

Como a ContaClara apoia o procedimento das 72h

A ContaClara opera com audit trail nativo em todo acesso ao painel de gestão de fatura — registra quem entrou, quando, de qual IP, qual ação foi feita (visualização, exportação, edição). Em caso de incidente, o cronograma é reconstruído sem investigação manual.

No onboarding, a ContaClara entrega:

  • Procedimento padrão de incidente customizável para empresa contratante
  • Janela de 24h cravada no DPA da ContaClara para notificação Operador (ContaClara) → Controlador (cliente)
  • Lista nominal de subprocessadores mapeados (Hetzner Falkenstein EU-DE como infra cloud com soberania declarada, Supabase como provedor de banco com RLS multi-tenant)
  • Template de comunicação preliminar para ANPD
  • Contato direto do DPO: dpo@usecontaclara.com.br
  • Recomendação de mascaramento de ramais em relatórios exportáveis pela empresa cliente (LGPD art. 6º III) — reduz exposição em vazamento Tipo 3

Posts próximos da semana vão entrar em ciclo de renegociação de contrato (amanhã) e anatomia da demo pública com drill-down em 3 níveis (sábado). Se quer receber por e-mail quando sair, a newsletter está aceitando inscrição.

Pra revisar o DPA padrão antes de assinar contrato: dpo@usecontaclara.com.br ou veja a página /seguranca. A demo pública da Mercearia Tem de Tudo tem 387 linhas e audit trail exportável, navegável sem cadastro — política de mascaramento de dados pessoais em relatórios gerenciais é responsabilidade da empresa cliente (LGPD art. 6º III).


ContaClara é o painel claro de telecom corporativo. Consolidamos, organizamos e governamos cada linha, cada CNPJ, cada real da fatura — multi-operadora, multi-filial, sem virar madrugada no Excel. Conheça a demo pública ou calcule seu preço.

DPO: dpo@usecontaclara.com.br

Perguntas frequentes

O que diz a Resolução CD/ANPD 15/2024 sobre as 72 horas?

A Resolução CD/ANPD nº 15/2024, publicada em abril de 2024, orientou a comunicação de incidente de segurança envolvendo dados pessoais à ANPD em "prazo razoável". Na prática regulatória brasileira, isso consolidou em 72 horas da confirmação do incidente — alinhado com o padrão internacional (GDPR usa exatamente 72h). Quando o incidente representar risco relevante a titulares (vazamento de número significativo de dados, dados sensíveis, possibilidade de uso indevido), a comunicação é obrigatória. O art. 48 da LGPD é a base legal — a Resolução 15/2024 detalha o procedimento.

Em telecom corporativo, o que conta como incidente que precisa ser notificado?

Cinco categorias típicas. (1) Vazamento de detalhado de chamadas — arquivo CSV/XLSX com número de linha, padrão de uso e nome de colaborador escapou por compartilhamento indevido. (2) Acesso não autorizado ao painel da operadora — credencial comprometida que permitiu ver fatura/consumo de outro cliente. (3) Exposição de relatório com ramais sem mascaramento — relatório gerencial saiu por e-mail aberto com dados pessoais identificáveis. (4) Comprometimento de sistema do Operador — incidente no datacenter da operadora, no portal de gestão, na plataforma de bilhetagem. (5) Subprocessador comprometido — call center terceirizado da operadora teve acesso indevido por funcionário interno. Nem todo incidente é grave — gravidade é critério de quando notificar à ANPD; mas todo incidente em telecom corporativo precisa entrar no procedimento interno de avaliação.

Como funciona a cadeia Controlador → Operador → Subprocessador nas 72h?

A janela de 72h da ANPD vale para o Controlador. Mas o incidente raramente é detectado pelo Controlador direto — geralmente vem do Operador (operadora de telecom) ou do Subprocessador (call center, infra cloud). Cada elo precisa avisar o anterior em janela menor pra que o Controlador tenha tempo de investigar e notificar a ANPD. Boa prática operacional: Subprocessador notifica Operador em até 24h da detecção; Operador notifica Controlador em até 24h da confirmação ou 48h da detecção (o que for menor); Controlador investiga em até 24h e notifica ANPD nas 72h totais. Sem essas janelas internas cravadas em DPA, a janela de 72h vira impossível de cumprir.

Qual o erro mais comum que faz o prazo das 72h virar atenuante perdida?

Esperar a confirmação 100% antes de notificar. A Resolução 15/2024 e a prática internacional consolidaram: a comunicação inicial pode ser preliminar, com informações disponíveis no momento. Quando se tem 70% de certeza do incidente, vale notificar a ANPD com o que se sabe + cronograma de atualização. Empresa que espera 100% de certeza descobre que passou 72h coletando dado e perdeu prazo. O segundo erro mais comum é não ter procedimento interno cravado — quando o incidente acontece, ninguém sabe quem é o responsável por escalar (DPO, jurídico, segurança), quem decide notificar e quem assina a comunicação. Em fiscalização, ausência de procedimento documentado é tão grave quanto perder o prazo.

Como a ContaClara prepara cliente para o procedimento das 72h?

A ContaClara entrega no onboarding o procedimento padrão de incidente em telecom corporativo, com janela de 24h cravada para notificação Operador → Controlador (sua empresa), template de comunicação preliminar para ANPD, lista de subprocessadores mapeados no DPA (Hetzner Falkenstein EU-DE soberania declarada, Supabase RLS multi-tenant) e contato direto do DPO em dpo@usecontaclara.com.br. Audit trail nativo registra todos os acessos ao painel — em caso de incidente, é possível reconstruir cronograma sem investigação manual. Demo pública navegável sem cadastro em app.usecontaclara.com.br/demo; doc técnico em usecontaclara.com.br/seguranca.