Quando ocorre um incidente de segurança envolvendo dados pessoais, pode ser necessário comunicar os titulares afetados de forma clara, objetiva e em linguagem simples.
Este modelo pode ser adaptado pela academia ou empresa responsável, conforme o tipo de incidente, os dados envolvidos e as medidas adotadas.
Importante
Antes de enviar qualquer comunicado aos clientes, o texto deve ser revisado pelas áreas responsáveis da empresa, como jurídico, privacidade, segurança da informação e atendimento ao cliente.
Quando usar este modelo
Este modelo pode ser utilizado quando houver necessidade de informar clientes ou usuários sobre:
acesso indevido a dados pessoais;
uso indevido de credenciais;
incidentes com risco de fraude;
exposição de informações cadastrais, financeiras ou de login;
outros incidentes que possam gerar risco ou dano relevante aos titulares.
Orientações antes de enviar
Antes do envio da comunicação, confirme:
quais titulares serão comunicados;
quais dados podem ter sido afetados;
quais riscos realmente existem;
quais medidas já foram adotadas;
qual canal será utilizado para atendimento aos clientes.
Também é importante garantir que a mensagem:
utilize linguagem simples;
não minimize indevidamente o ocorrido;
não inclua informações técnicas excessivas;
contenha orientação prática para o cliente.
Importante
O objetivo da comunicação é informar e orientar os clientes. Evite termos técnicos ou jurídicos complexos que possam dificultar a compreensão da mensagem.
Template de comunicado ao titular
Assunto do e-mail ou título da mensagem
Comunicado importante sobre incidente de segurança envolvendo seus dados
Corpo da mensagem
Olá, [NOME DO TITULAR].
Estamos entrando em contato para informar, com transparência, a ocorrência de um incidente de segurança que pode ter envolvido alguns dos seus dados pessoais vinculados ao seu cadastro em nossa base.
O que aconteceu
No dia [DATA], identificamos um incidente relacionado a [DESCREVER DE FORMA SIMPLES O OCORRIDO].
Exemplos de adaptação:
acesso indevido à conta mediante uso fraudulento de credenciais;
tentativa de fraude por meio de site falso;
exposição indevida de informações cadastrais;
acesso não autorizado a dados associados ao cadastro do cliente.
Quais dados podem ter sido envolvidos
Até o momento, identificamos que os dados potencialmente envolvidos foram:
nome completo
telefone
e-mail
informações cadastrais
histórico de pagamentos
dados relacionados ao plano contratado
Importante
Informe também quais dados não foram comprometidos. Isso ajuda a reduzir a preocupação dos clientes, caso isso seja verdadeiro.
Exemplo:
Até o momento, não há evidências de comprometimento de senha armazenada em formato legível, número completo de cartão ou dados bancários completos.
Quais medidas adotamos
Assim que tomamos conhecimento do incidente, adotamos medidas para contenção e mitigação, incluindo, por exemplo:
bloqueio de acessos suspeitos
revogação de sessões ou tokens
análise técnica do ocorrido
reforço de monitoramento
comunicação às autoridades competentes, quando aplicável
implementação de medidas adicionais de proteção e prevenção
O que você deve fazer agora
Como medida de precaução, recomendamos que você:
altere sua senha imediatamente, quando aplicável
não compartilhe códigos, senhas ou links recebidos por terceiros
desconsidere mensagens suspeitas em nome da academia
confirme cobranças ou solicitações de pagamento apenas em nossos canais oficiais
monitore movimentações ou comunicações incomuns relacionadas à sua conta
Dependendo do incidente, também pode ser recomendável:
redobrar a atenção com tentativas de golpe via WhatsApp
não realizar pagamentos enviados por contatos não oficiais
entrar em contato conosco em caso de qualquer suspeita
Nossos canais oficiais
Para sua segurança, considere como canais oficiais apenas:
[SITE OFICIAL]
[APP OFICIAL]
[E-MAIL OFICIAL]
[TELEFONE OU WHATSAPP OFICIAL]
[OUTROS CANAIS, SE NECESSÁRIO]
Nosso compromisso
Lamentamos o ocorrido e reforçamos que seguimos adotando medidas técnicas e administrativas para apurar o caso, reduzir riscos e fortalecer nossos controles de segurança.
Permanecemos à disposição para esclarecer dúvidas e prestar o suporte necessário.
Atenciosamente,
[NOME DA EMPRESA OU ACADEMIA]
[ÁREA RESPONSÁVEL]
[CANAL DE CONTATO]
Versão curta para WhatsApp, SMS ou notificação
Abaixo está uma versão resumida, útil para canais com limitação de espaço. Mensagem curta:
Olá, [NOME]. Identificamos um incidente de segurança que pode ter envolvido dados vinculados ao seu cadastro. Já adotamos medidas de contenção e reforçamos o monitoramento. Pedimos atenção redobrada com mensagens, links e cobranças em nome da academia. Em caso de dúvida, utilize apenas nossos canais oficiais: [CANAL OFICIAL]. Para mais informações, fale conosco em [CONTATO].
Exemplo adaptado para caso de phishing
Abaixo, um exemplo mais próximo de um cenário de golpe com site falso.
Assunto
Comunicado importante sobre tentativa de fraude envolvendo sua conta
Corpo da mensagem
Olá, [NOME DO TITULAR].
Identificamos a ocorrência de um incidente relacionado a uma tentativa de fraude por meio de ambiente falso que simulava comunicação oficial da academia.
Nesse contexto, pode ter havido acesso indevido a dados vinculados ao seu cadastro, caso credenciais de acesso tenham sido informadas em ambiente fraudulento.
Os dados potencialmente envolvidos podem incluir informações cadastrais e dados relacionados à sua conta.
Assim que tivemos ciência do caso, adotamos medidas de contenção, reforçamos o monitoramento e iniciamos as ações internas de apuração e mitigação.
Por precaução, recomendamos que você:
não realize pagamentos solicitados por contatos não oficiais
desconsidere links recebidos por terceiros em nome da academia
altere sua senha, se aplicável
entre em contato conosco caso tenha recebido mensagens suspeitas
Nossos canais oficiais são: [INSERIR CANAIS].
Lamentamos o ocorrido e permanecemos à disposição para prestar esclarecimentos.
Atenciosamente,
[NOME DA EMPRESA OU ACADEMIA]
Checklist antes de publicar ou enviar
Antes de utilizar o comunicado, revise:
nome correto da empresa ou academia
descrição exata do incidente
categorias corretas de dados envolvidos
medidas efetivamente adotadas
orientação prática adequada ao caso
canais oficiais atualizados
tom claro e objetivo, sem excesso de tecnicismo
Boas práticas de redação
Ao adaptar este template:
evite linguagem alarmista
evite termos jurídicos desnecessários
seja transparente sobre o que se sabe e o que ainda está em apuração
não faça afirmações absolutas sem confirmação técnica
indique ações concretas que o titular deve tomar
Exemplos de formulações adequadas:
“até o momento, identificamos”
“não há evidências, até o presente momento”
“como medida de precaução, recomendamos”
Resumo
Um bom comunicado ao titular deve explicar:
o que aconteceu
quais dados podem ter sido afetados
o que a empresa fez
o que o cliente deve fazer
como buscar ajuda
Uma comunicação clara e transparente ajuda a cumprir os deveres da LGPD e reduz o risco de novos golpes ou agravamento do incidente.
Para ver mais sobre possíveis fraudes e como proteger os clientes da sua academia, veja mais sobre em Antifraude.
