Brasil registra 77 incidentes de segurança com dados pessoais no primeiro trimestre de 2025, segundo ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) já contabiliza 77 comunicados de incidentes de segurança envolvendo dados pessoais no Brasil entre janeiro e o início de abril de 2025. Os dados estão disponíveis para consulta pública e podem ser acessados livremente no portal oficial da ANPD. Acesse e confira:
De acordo com o levantamento (atualizado em 2 de abril), a maior parte dos incidentes foi comunicada por órgãos do setor público, que respondem por 71,43% dos registros. Já o setor privado representou 28,57% das notificações. A predominância do setor público nos registros pode estar associada a uma maior adesão às exigências legais e às políticas de transparência, mas também levanta questionamentos sobre a subnotificação por parte de empresas privadas.
Dentre os principais tipos de incidentes reportados, o destaque é para roubo de credenciais e ataques de engenharia social, com 19 casos registrados. Em seguida, aparecem os ataques de ransomware: 14 casos sem transferência de dados e 9 com exfiltração e/ou vazamento de informações. Esses dois tipos de incidentes são considerados os de maior impacto, por envolverem comprometimento direto de identidades e possível exposição de dados sensíveis. Outras ocorrências registradas incluem:
- Acesso não autorizado a sistemas: 6 casos
- Divulgação indevida de dados pessoais: 6
- Perda ou roubo de documentos físicos: 4
- Envio incorreto de dados a terceiros: 3
- Exploração de vulnerabilidades: 2
- Negação de serviço (DoS): 1
A distribuição geográfica dos incidentes aponta que o estado de São Paulo concentra o maior número de comunicações, seguido por outros estados das regiões Sudeste e Sul. Diversos estados, principalmente das regiões Norte e Nordeste, não registraram nenhum caso até o momento. Especialistas alertam que essa ausência pode indicar não a falta de incidentes, mas uma possível subnotificação.
A subnotificação é uma questão esperada neste contexto, devido à falta de maturidade das empresas em lidar com incidentes de segurança da informação. Isso evidencia a necessidade de uma gestão eficaz de incidentes nas organizações brasileiras. É preciso investir e disseminar o conhecimento sobre o tema, especialmente porque nem todas as empresas enfrentavam exigências regulatórias e punitivas que as obrigam a comunicação de incidentes antes da LGPD, como é o caso das instituições bancárias.
Quanto ao tipo de comunicação feita à ANPD, os números mostram:
- 44,16% das notificações foram completas
- 37,66% foram preliminares
- 18,18% foram complementares
A comunicação preliminar é prevista pela regulamentação da ANPD, especialmente quando as organizações ainda estão apurando a extensão do incidente. No entanto, é necessário que esses comunicados sejam atualizados com informações detalhadas em tempo hábil, como determina a legislação vigente.
Os dados divulgados reforçam a importância da comunicação de incidentes como mecanismo de prevenção, transparência e aprendizado coletivo. O acompanhamento contínuo desse panorama pode auxiliar na construção de políticas públicas e estratégias de segurança da informação mais eficazes.
Diante desse cenário, o momento exige ação imediata. Os números reforçam que nenhum setor está imune aos riscos cibernéticos, e a não conformidade com a LGPD pode resultar não apenas em penalidades legais, mas também em perda de confiança e danos à reputação. Para evitar que esse tipo de notificação se torne uma realidade em sua organização, é essencial investir agora em um programa estruturado de adequação.
A Tera Tecnologia oferece suporte completo em consultoria de privacidade, implementação de controles técnicos e organizacionais, e orientação estratégica para conformidade com a LGPD. Atuamos com foco na prevenção e redução de riscos, ajudando sua empresa a estar preparada para enfrentar as exigências legais e proteger os dados de forma eficaz.