Incidentes de segurança não são novidade no Brasil ou no mundo. No entanto, o tema vem ocupando espaço cada vez mais significativo no dia a dia das empresas – seja pela preocupação em prevenir esses eventos, seja pela necessidade de enfrentá-los quando ocorrem.
Os números confirmam essa tendência. Segundo o painel interativo sobre comunicações de incidentes de segurança da Agência Nacional de Proteção de Dados (ANPD), ao longo do primeiro trimestre de 2026, a Agência recebeu 108 comunicações de incidentes de segurança. Entre os tipos de incidente, destacam-se: (i) exploração de vulnerabilidade em sistemas de informação, (ii) divulgação indevida de dados pessoais e (iii) roubo de credenciais/engenharia social. Em 2025, o total de comunicações recebidas foi de 395, sendo que a exploração de vulnerabilidades e o roubo de credenciais lideraram os registros.
Nesse cenário, vale lembrar que, em abril de 2024, a ANPD publicou a Resolução CD/ANPD nº 15, aprovando seu Regulamento de Comunicação de Incidente de Segurança (Regulamento), que trouxe uma série de critérios para a mensuração de riscos decorrentes de incidentes de segurança e sobre o dever de reportá-los à ANPD e aos titulares de dados pessoais. Apesar desse avanço, ainda há questões em aberto. A própria Agenda Regulatória da ANPD para o biênio 2025-2026 traz como um dos temas prioritários a definição de parâmetros mais claros sobre medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança), para a preservação da segurança dos dados.
Buscando avançar nesse tema, a ANPD e o Programa das Nações Unidas para o Desenvolvimento (PNUD) abriram recentemente processo seletivo para a contratação de consultoria especializada para a condução de pesquisa sobre legislações setoriais e boas práticas com foco no subsídio a decisões relativas a incidentes de segurança (Projeto BRA/21/004 – “Efetividade da Política Nacional de Proteção de Dados Pessoais ampliada”). O objetivo dessa iniciativa é construir uma base de dados estruturada – reunindo legislações, regulações setoriais, certificações e boas práticas, nas esferas federal, estadual, municipal e internacional – para subsidiar a Coordenação de Tratamento de Incidentes de Segurança da ANPD na análise e tomada de decisão sobre os comunicados recebidos. A iniciativa sinaliza que a agência busca ampliar sua capacidade de atuação de forma cada vez mais proativa e bem-informada.
A ANPD, contudo, não é a única entidade que vem avançando sobre essa frente.
No âmbito dos cartórios extrajudiciais, a Corregedoria Nacional de Justiça publicou, em fevereiro deste ano, o Provimento nº 213, que passa a exigir padrões mínimos de tecnologia da informação e segurança para os serviços notariais e de registro, com requisitos proporcionais ao porte de cada serventia. No setor financeiro, por sua vez, em dezembro de 2025, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram as Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, que reforçam a política de segurança cibernética das instituições autorizadas a funcionar pelo BCB.
Assim, nota-se um movimento crescente, de diferentes setores e jurisdições, na busca pela regulação e maior controle do tema.
Esse avanço regulatório reflete uma realidade preocupante. Somente neste ano, grandes instituições financeiras foram alvos de ataques cibernéticos que resultaram em desvios milionários e na paralisação de serviços essenciais. Os riscos, contudo, não se limitam ao setor privado: órgãos públicos também estão expostos a incidentes de segurança.
Nesse cenário, você identificou ou suspeita de um incidente de segurança em sua operação? Confira abaixo algumas orientações iniciais!
Em caso de incidente de segurança envolvendo dados pessoais, recomenda-se observar os seguintes passos, com base no Regulamento e nas orientações da ANPD:
- Avaliar internamente o incidente. Identificar a natureza, a categoria e o volume de dados pessoais afetados, o número de titulares envolvidos e as consequências concretas e prováveis do evento.
- Classificar o grau de risco. Verificar se o incidente pode acarretar risco ou dano relevante aos titulares e se envolve, pelo menos, um dos critérios previstos no Regulamento.
- Se houver risco ou dano relevante: comunicar. Notificar a ANPD e os titulares afetados nos prazos previstos pelo Regulamento.
- Se não houver risco ou dano relevante: registrar. Documentar a análise interna do incidente, as medidas adotadas e a justificativa para a não comunicação.
- Adotar medidas de contenção e mitigação. Implementar ações imediatas para interromper o incidente e reduzir seus efeitos, bem como ações corretivas para evitar recorrência.
