Sumário do artigo · 20 seções
- Recapitulando: o que diz a Resolução CD/ANPD 15/2024
- Os 5 tipos de incidente típicos em telecom corporativo
- Tipo 1 — Vazamento de detalhado de chamadas
- Tipo 2 — Acesso não autorizado ao painel da operadora
- Tipo 3 — Exposição de relatório com ramais sem mascaramento
- Tipo 4 — Comprometimento de sistema do Operador
- Tipo 5 — Subprocessador comprometido
- A cadeia das 72h — quem avisa quem em que janela
- O erro mais comum — esperar 100% de certeza
- O segundo erro — ausência de procedimento interno
- O procedimento operacional padrão — modelo
- Etapa 1 — Recebimento (T+0)
- Etapa 2 — Triagem (T+0 a T+4h)
- Etapa 3 — Investigação (T+4h a T+48h)
- Etapa 4 — Decisão de comunicar (T+48h a T+60h)
- Etapa 5 — Comunicação à ANPD (T+60h a T+72h)
- Etapa 6 — Atualização e encerramento (T+72h em diante)
- Etapa 7 — Pós-incidente (semana 2-4)
- Audit trail — a prova de diligência
- Como a ContaClara apoia o procedimento das 72h
Resolução CD/ANPD 15/2024 orientou comunicação de incidente envolvendo dados pessoais em "prazo razoável" — consolidado na prática em 72 horas da confirmação. Em telecom corporativo, o incidente típico (vazamento de detalhado de chamadas, exposição de relatório com ramais sem mascaramento, acesso não autorizado ao painel de fatura) atravessa a cadeia Controlador → Operador → Subprocessador, e cada elo precisa avisar o anterior em janela menor pra fechar 72h ao final. Este post mostra o ciclo das 72h em telecom, o erro que mais derruba o prazo e o procedimento operacional cravado.
Tem um número que entrou no vocabulário operacional do compliance corporativo brasileiro em 2024 e virou métrica de fechamento de mês em 2026: 72 horas. É o prazo que a Resolução CD/ANPD nº 15/2024 consolidou pra comunicação à ANPD quando há incidente envolvendo dados pessoais. Em telecom corporativo, esse número atravessa uma cadeia de três elos (Controlador → Operador → Subprocessador) e cada elo precisa avisar o anterior em janela menor pra que o relógio das 72h ao final feche.
Em telecom corporativo, o incidente típico (vazamento de detalhado de chamadas, exposição de relatório com ramais sem mascaramento, acesso não autorizado ao painel de fatura) atravessa a cadeia Controlador → Operador → Subprocessador. Cada elo precisa avisar o anterior em janela menor pra fechar 72h ao final. Sem procedimento cravado em DPA, a janela vira impossível de cumprir.
Este post não substitui assessoria jurídica especializada em LGPD/proteção de dados — documenta o que está cravado na Resolução CD/ANPD 15/2024, no art. 48 da LGPD, e o que vimos repetidamente no procedimento operacional de empresas com 100+ linhas corporativas.
Em LGPD em telecom corporativo: o que muda em 2026 cobrimos as três obrigações práticas (DPA, retenção e 72h). Em DPA telecom corporativo em 2026: o que exigir da operadora aprofundamos só o DPA. Este post aprofunda só a notificação 72h — o ciclo, o erro mais comum e o procedimento operacional.
Recapitulando: o que diz a Resolução CD/ANPD 15/2024
Publicada em abril de 2024 pela Autoridade Nacional de Proteção de Dados, a Resolução nº 15/2024 detalhou o procedimento de comunicação de incidente de segurança envolvendo dados pessoais. Pontos principais:
- A comunicação deve ser feita em “prazo razoável” — na prática regulatória brasileira e por alinhamento internacional (GDPR), consolidou em 72 horas da confirmação do incidente
- A obrigação se aplica quando o incidente representar risco relevante a titulares — não todo incidente vira comunicação à ANPD, mas todo incidente precisa entrar em procedimento interno de avaliação
- A base legal é o art. 48 da LGPD, que obriga o Controlador a comunicar à ANPD e ao titular em prazo razoável
- A comunicação inicial pode ser preliminar (com informações disponíveis no momento) e atualizada subsequentemente conforme investigação avança
A Resolução 15/2024 trouxe procedimento. Antes dela, a redação do art. 48 era genérica (“prazo razoável”) e empresas não sabiam o que era razoável. Agora há baliza prática.
Os 5 tipos de incidente típicos em telecom corporativo
Em telecom corporativo de empresa com 100+ linhas, cinco categorias de incidente cobrem 85-90% dos casos:
Tipo 1 — Vazamento de detalhado de chamadas
O detalhado da fatura (CSV/XLSX) saiu por e-mail aberto, virou anexo em conversa de WhatsApp, foi copiado pra pasta compartilhada sem controle de acesso. Contém número de linha + nome do colaborador + padrão de uso. Dado pessoal exposto.
Frequência: o tipo mais comum. Em parque 100+ linhas vimos relatos trimestrais de exposição não intencional.
Tipo 2 — Acesso não autorizado ao painel da operadora
Credencial de gestão da conta da operadora foi comprometida (phishing, senha reusada, ex-colaborador com acesso ativo). Atacante (interno ou externo) visualizou fatura, consumo, ou conseguiu cadastrar nova linha.
Frequência: baixa, mas grave. Quando acontece, exposição abrange o parque inteiro.
Tipo 3 — Exposição de relatório com ramais sem mascaramento
Relatório gerencial exportado da plataforma de gestão de fatura saiu sem mascaramento de ramais ou números de linha. Atravessou e-mail, sistema de aprovação, ferramenta de BI — cada cópia virou ponto adicional de exposição.
Frequência: mais comum quando há rateio por departamento (relatório circula entre múltiplas áreas).
Tipo 4 — Comprometimento de sistema do Operador
Incidente no datacenter da operadora, no portal de gestão, na plataforma de bilhetagem. O Controlador (sua empresa) não causa o incidente, mas é afetado — dado dos colaboradores foi exposto.
Frequência: depende do Operador. Operadoras grandes têm controle robusto; subprocessadores menores são pontos de risco.
Tipo 5 — Subprocessador comprometido
Call center terceirizado da operadora, provedor de infra cloud, plataforma de bilhetagem — qualquer subprocessador da operadora teve incidente. A operadora avisa, sua empresa precisa decidir se há risco aos titulares.
Frequência: baixa, mas é o cenário mais complexo de gerenciar — dependência total do mapeamento de subprocessadores no DPA.
A cadeia das 72h — quem avisa quem em que janela
A janela de 72h vale para o Controlador (sua empresa) comunicar à ANPD. Mas o incidente raramente é detectado pelo Controlador direto. Geralmente:
- Subprocessador detecta o incidente (call center, infra cloud, bilhetagem) — hora T+0
- Subprocessador investiga internamente e notifica o Operador — janela típica de 12-24h da detecção
- Operador (operadora de telecom) recebe a notificação, confirma com investigação adicional e notifica o Controlador (sua empresa) — janela típica de 24h da confirmação
- Controlador (sua empresa) recebe, avalia gravidade e — se houver risco relevante a titulares — notifica a ANPD em até 72h totais
Janelas operacionais cravadas em DPA bem-feito:
- Subprocessador → Operador: 24h da detecção
- Operador → Controlador: 24h da confirmação OU 48h da detecção (o que for menor)
- Controlador → ANPD: 72h totais a partir da confirmação interna do Controlador
Por que cada janela importa: se o Subprocessador detecta hoje e demora 60h pra avisar a Operadora, a Operadora demora 24h pra confirmar e avisar o Controlador, o Controlador recebe a notícia já com 84h decorridas — passou do prazo, e a comunicação à ANPD vai virar “atenuante perdida” no procedimento sancionatório.
A defesa é cravar essas janelas no DPA com Operador e Subprocessadores. Ver DPA telecom corporativo em 2026: o que exigir da operadora pra cláusulas detalhadas.
O erro mais comum — esperar 100% de certeza
Em conversas com DPOs e jurídicos corporativos em 2026, o erro recorrente que vira atenuante perdida é exatamente o oposto do que parece intuitivo: esperar 100% de certeza antes de notificar.
A lógica intuitiva é: “vamos investigar primeiro, só notificamos quando souber que houve incidente”. A consequência: passa 72h em investigação interna, descobre que houve incidente, comunica à ANPD com 96h+. Atenuante perdida.
O que a Resolução 15/2024 e a prática internacional consolidaram:
- Comunicação inicial pode ser preliminar, com informações disponíveis no momento
- Texto da comunicação preliminar pode ser: “Houve indício de incidente envolvendo [categoria de dados], detectado em [data/hora]. Investigação em curso. Estimativa de titulares afetados: [N]. Medidas iniciais adotadas: [lista]. Atualização prevista para [data].”
- Atualizações subsequentes acompanham a investigação — não é necessário fechar todas as informações no momento da comunicação inicial
Quando se tem 70% de certeza do incidente, vale notificar com o que se sabe + cronograma de atualização. Quando se chega a 100%, manda atualização. O prazo das 72h fica cumprido.
O segundo erro — ausência de procedimento interno
O segundo erro mais comum em fiscalização não é perder o prazo. É não ter procedimento documentado de incidente.
Quando o incidente acontece, ninguém sabe:
- Quem é o responsável por receber a notificação (DPO? jurídico? CISO? segurança?)
- Quem investiga (TI? equipe externa de resposta a incidente?)
- Quem decide se notifica ANPD (DPO autonomamente? CFO precisa aprovar?)
- Quem assina a comunicação preliminar
- Quem comunica os titulares afetados quando aplicável
A consequência operacional: 24h se passam só pra decidir quem decide. O relógio das 72h corre.
A defesa:
- Procedimento documentado — fluxograma de papéis e prazos, aprovado por jurídico/DPO, conhecido pela área de TI/segurança
- Treinamento anual — todas as pessoas que podem receber notificação de incidente sabem o que fazer
- Mock de incidente trimestral — simulação curta (1h) de incidente fictício pra testar o procedimento
Em fiscalização, ausência de procedimento documentado é tão grave quanto perder o prazo. Procedimento conta como medida de governança — defesa de diligência.
O procedimento operacional padrão — modelo
Para empresa que não tem procedimento cravado, modelo enxuto que cabe em uma página:
Etapa 1 — Recebimento (T+0)
- Quem recebe: e-mail padrão
incidente@suaempresa.com.brmonitorado pelo DPO + jurídico + CISO - Notificações automáticas: Operador → e-mail; Subprocessador → Operador → e-mail
- Sistema interno: ticket aberto automaticamente em sistema de chamados (ServiceNow ou similar)
Etapa 2 — Triagem (T+0 a T+4h)
- DPO confirma recebimento e classifica gravidade preliminar
- Critérios de classificação: número estimado de titulares · tipo de dado · possibilidade de uso indevido · cobertura geográfica
- Decisão preliminar: incidente que provavelmente exigirá comunicação à ANPD (sim/não/em investigação)
Etapa 3 — Investigação (T+4h a T+48h)
- Time técnico investiga origem, vetor, escopo
- DPO mantém log da investigação em audit trail
- Comunicação informal com Operador/Subprocessador para fechar cronograma
Etapa 4 — Decisão de comunicar (T+48h a T+60h)
- DPO + jurídico + diretor responsável (CFO, COO ou equivalente) decidem se há risco relevante a titulares
- Critério: dado sensível + alto volume + possibilidade de identificação + ausência de criptografia em transit/repouso = sim
- Decisão registrada em ata curta com justificativa
Etapa 5 — Comunicação à ANPD (T+60h a T+72h)
- Texto de comunicação preliminar enviado por canal oficial ANPD
- Comunicação aos titulares quando aplicável (geralmente fica para etapa subsequente, após investigação completa)
- Início do cronograma de atualizações à ANPD
Etapa 6 — Atualização e encerramento (T+72h em diante)
- Atualizações enviadas conforme investigação avança
- Quando investigação fecha, comunicação final com:
- Descrição completa do incidente
- Causa raiz
- Medidas corretivas adotadas
- Procedimento de prevenção de reincidência
Etapa 7 — Pós-incidente (semana 2-4)
- Revisão do procedimento à luz do que funcionou e não funcionou
- Atualização de DPA com Operador/Subprocessador se houver gap descoberto
- Treinamento adicional para áreas envolvidas se aplicável
Audit trail — a prova de diligência
A Resolução 15/2024 e a prática regulatória valorizam audit trail. Em fiscalização, o que protege a empresa é mostrar:
- Timestamp de cada evento — quando o Operador notificou, quando DPO recebeu, quando triagem aconteceu, quando decisão de comunicar foi tomada
- Rastreabilidade de acesso — quem acessou o painel de gestão, quando, de qual IP, qual ação
- Decisões documentadas — ata da reunião de decisão de comunicar, mesmo que seja só duas linhas
- Comunicação ao titular — quando aplicável, como foi feita, comprovante de recebimento
Audit trail bem-feito vira defesa de diligência — mostra à ANPD que a empresa não negligenciou, que o procedimento foi seguido. Audit trail ausente vira agravante.
Como a ContaClara apoia o procedimento das 72h
A ContaClara opera com audit trail nativo em todo acesso ao painel de gestão de fatura — registra quem entrou, quando, de qual IP, qual ação foi feita (visualização, exportação, edição). Em caso de incidente, o cronograma é reconstruído sem investigação manual.
No onboarding, a ContaClara entrega:
- Procedimento padrão de incidente customizável para empresa contratante
- Janela de 24h cravada no DPA da ContaClara para notificação Operador (ContaClara) → Controlador (cliente)
- Lista nominal de subprocessadores mapeados (Hetzner Falkenstein EU-DE como infra cloud com soberania declarada, Supabase como provedor de banco com RLS multi-tenant)
- Template de comunicação preliminar para ANPD
- Contato direto do DPO: dpo@usecontaclara.com.br
- Recomendação de mascaramento de ramais em relatórios exportáveis pela empresa cliente (LGPD art. 6º III) — reduz exposição em vazamento Tipo 3
Posts próximos da semana vão entrar em ciclo de renegociação de contrato (amanhã) e anatomia da demo pública com drill-down em 3 níveis (sábado). Se quer receber por e-mail quando sair, a newsletter está aceitando inscrição.
Pra revisar o DPA padrão antes de assinar contrato: dpo@usecontaclara.com.br ou veja a página /seguranca. A demo pública da Mercearia Tem de Tudo tem 387 linhas e audit trail exportável, navegável sem cadastro — política de mascaramento de dados pessoais em relatórios gerenciais é responsabilidade da empresa cliente (LGPD art. 6º III).
ContaClara é o painel claro de telecom corporativo. Consolidamos, organizamos e governamos cada linha, cada CNPJ, cada real da fatura — multi-operadora, multi-filial, sem virar madrugada no Excel. Conheça a demo pública ou calcule seu preço.
Perguntas frequentes
O que diz a Resolução CD/ANPD 15/2024 sobre as 72 horas?
A Resolução CD/ANPD nº 15/2024, publicada em abril de 2024, orientou a comunicação de incidente de segurança envolvendo dados pessoais à ANPD em "prazo razoável". Na prática regulatória brasileira, isso consolidou em 72 horas da confirmação do incidente — alinhado com o padrão internacional (GDPR usa exatamente 72h). Quando o incidente representar risco relevante a titulares (vazamento de número significativo de dados, dados sensíveis, possibilidade de uso indevido), a comunicação é obrigatória. O art. 48 da LGPD é a base legal — a Resolução 15/2024 detalha o procedimento.
Em telecom corporativo, o que conta como incidente que precisa ser notificado?
Cinco categorias típicas. (1) Vazamento de detalhado de chamadas — arquivo CSV/XLSX com número de linha, padrão de uso e nome de colaborador escapou por compartilhamento indevido. (2) Acesso não autorizado ao painel da operadora — credencial comprometida que permitiu ver fatura/consumo de outro cliente. (3) Exposição de relatório com ramais sem mascaramento — relatório gerencial saiu por e-mail aberto com dados pessoais identificáveis. (4) Comprometimento de sistema do Operador — incidente no datacenter da operadora, no portal de gestão, na plataforma de bilhetagem. (5) Subprocessador comprometido — call center terceirizado da operadora teve acesso indevido por funcionário interno. Nem todo incidente é grave — gravidade é critério de quando notificar à ANPD; mas todo incidente em telecom corporativo precisa entrar no procedimento interno de avaliação.
Como funciona a cadeia Controlador → Operador → Subprocessador nas 72h?
A janela de 72h da ANPD vale para o Controlador. Mas o incidente raramente é detectado pelo Controlador direto — geralmente vem do Operador (operadora de telecom) ou do Subprocessador (call center, infra cloud). Cada elo precisa avisar o anterior em janela menor pra que o Controlador tenha tempo de investigar e notificar a ANPD. Boa prática operacional: Subprocessador notifica Operador em até 24h da detecção; Operador notifica Controlador em até 24h da confirmação ou 48h da detecção (o que for menor); Controlador investiga em até 24h e notifica ANPD nas 72h totais. Sem essas janelas internas cravadas em DPA, a janela de 72h vira impossível de cumprir.
Qual o erro mais comum que faz o prazo das 72h virar atenuante perdida?
Esperar a confirmação 100% antes de notificar. A Resolução 15/2024 e a prática internacional consolidaram: a comunicação inicial pode ser preliminar, com informações disponíveis no momento. Quando se tem 70% de certeza do incidente, vale notificar a ANPD com o que se sabe + cronograma de atualização. Empresa que espera 100% de certeza descobre que passou 72h coletando dado e perdeu prazo. O segundo erro mais comum é não ter procedimento interno cravado — quando o incidente acontece, ninguém sabe quem é o responsável por escalar (DPO, jurídico, segurança), quem decide notificar e quem assina a comunicação. Em fiscalização, ausência de procedimento documentado é tão grave quanto perder o prazo.
Como a ContaClara prepara cliente para o procedimento das 72h?
A ContaClara entrega no onboarding o procedimento padrão de incidente em telecom corporativo, com janela de 24h cravada para notificação Operador → Controlador (sua empresa), template de comunicação preliminar para ANPD, lista de subprocessadores mapeados no DPA (Hetzner Falkenstein EU-DE soberania declarada, Supabase RLS multi-tenant) e contato direto do DPO em dpo@usecontaclara.com.br. Audit trail nativo registra todos os acessos ao painel — em caso de incidente, é possível reconstruir cronograma sem investigação manual. Demo pública navegável sem cadastro em app.usecontaclara.com.br/demo; doc técnico em usecontaclara.com.br/seguranca.