instalar ferramentas de antivírus para eliminar as ameaças, considerando que malware e phishing são independentes do comportamento dos servidores. No relatório de conformidade, informar que a LGPD não abrange incidentes de destruição ou acesso indevido, focando na coleta inicial dos dados.

comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD), para que ela proceda à análise de causa raiz ou treinamento de usuários, visto que a LGPD restringe-se ao cumprimento de bases legais para o tratamento, e não à gestão ativa de riscos de engenharia social.

tratar à incidente como uma falha técnica de firewall, uma vez que a LGPD não se aplica a vazamentos causados por ações humanas, limitando-se a erros em processos de processamento automatizado.

classificar o phishing como um tipo de hardware malicioso, pois a LGPD não obriga o órgão público a implementar controles preventivos de segurança da informação.

identificar a engenharia social como método de manipulação humana e o phishing como vetor do ataque, adotando medidas de contenção e remediação. Deve, ainda, tratar o acesso não autorizado como incidente de segurança envolvendo dados pessoais e avaliar a necessidade de comunicação à ANPD e aos titulares, conforme o risco e o impacto.