Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 10/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121000116
116
Nº 235, quarta-feira, 10 de dezembro de 2025
ISSN 1677-7042
Seção 1
§ 1º O prazo previsto no caput conta-se da ciência, pelo Encarregado, de
que o incidente envolveu dados pessoais.
§ 2º A comunicação de incidente de segurança deverá conter as seguintes
informações:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - o número de titulares afetados, discriminando, quando aplicável, o
número de crianças, de adolescentes ou de idosos;
III - as medidas técnicas e de segurança utilizadas para a proteção dos
dados pessoais, adotadas antes e após o incidente, observados os segredos comercial
e industrial;
IV - os riscos relacionados ao incidente com identificação dos possíveis
impactos aos titulares;
V - os motivos da demora, no caso de a comunicação não ter sido realizada
no prazo previsto no caput deste artigo;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do incidente sobre os titulares;
VII - a data da ocorrência do incidente, quando possível determiná-la, e a
de seu conhecimento pelo Encarregado pelo Tratamento de Dados Pessoais;
VIII - os dados do Encarregado pelo Tratamento de Dados Pessoais;
IX - a identificação do Ministério da Pesca e Aquicultura;
X - a identificação do operador, quando aplicável;
XI
-
descrição
sucinta
do incidente,
incluída
a
causa
principal,
se
identificada; e
XII - o total de titulares cujos dados são tratados nas atividades de
tratamento afetadas pelo incidente.
§ 
3º 
As 
informações 
podem
ser 
complementadas, 
de 
maneira
fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação.
§ 4º A comunicação deverá ser realizada por meio de formulário eletrônico
e de canal específico, conforme orientação publicada no sítio eletrônico da Autoridade
Nacional de Proteção de Dados.
Seção III
Comunicação de Incidente de Segurança ao Titular
Art. 7º A comunicação de incidente de segurança ao titular deverá ser
realizada por meio do Encarregado pelo Tratamento de Dados Pessoais no prazo de
três dias úteis contados do conhecimento do Encarregado de que o incidente afetou
dados pessoais, e deverá conter as seguintes informações:
I - a descrição da natureza e da categoria de dados pessoais afetados;
II - as medidas técnicas e de segurança utilizadas para a proteção dos
dados, observados os segredos comercial e industrial;
III - os riscos relacionados ao incidente com identificação dos possíveis
impactos aos titulares;
IV - os motivos da demora, no caso de a comunicação não ter sido feita no
prazo do caput deste artigo;
V - as medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do incidente, quando cabíveis;
VI - a data do conhecimento do incidente de segurança; e
VII - o contato para obtenção de informações e, quando aplicável, os dados
de contato do Encarregado pelo Tratamento de Dados Pessoais.
§ 1º A comunicação do incidente aos titulares de dados deverá atender aos
seguintes critérios:
I - fazer uso de linguagem simples e de fácil entendimento; e
II - ocorrer de forma direta e individualizada, caso seja possível identificá-
los.
§ 2º Considera-se comunicação de forma direta e individualizada aquela
realizada pelos meios usualmente utilizados pelo Ministério da Pesca e Aquicultura
para contatar o titular, tais como telefone, e-mail, mensagem eletrônica ou carta.
§ 3º Caso a comunicação direta e individualizada mostre-se inviável ou não
seja possível identificar, parcial ou integralmente, os titulares afetados, o Encarregado
pelo Tratamento de Dados Pessoais deverá comunicar a ocorrência do incidente, no
prazo e com as informações definidas no caput, pelos meios de divulgação disponíveis,
tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento
ao titular, de modo que a comunicação permita o conhecimento amplo, com direta e
fácil visualização, pelo período de, no mínimo, três meses.
§ 4º O Encarregado pelo Tratamento de Dados Pessoais deverá juntar ao
processo de comunicação de incidente uma declaração de que foi realizada a
comunicação aos titulares, constando os meios de comunicação ou divulgação
utilizados, em até três dias úteis, contados do término do prazo de que trata o caput
deste artigo.
CAPÍTULO III
REGISTRO DO INCIDENTE DE SEGURANÇA
Art. 8º O Encarregado pelo Tratamento de Dados Pessoais efetuará o
registro do incidente de segurança e o Ministério da Pesca e Aquicultura deverá
manter o registro do incidente de segurança, inclusive daquele não comunicado à
Autoridade Nacional de Proteção de Dados e aos titulares, pelo prazo mínimo de cinco
anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais
que demandem maior prazo de manutenção.
Parágrafo único. O registro do incidente deverá conter, no mínimo:
I - a data de conhecimento do incidente;
II - a descrição geral das circunstâncias em que o incidente ocorreu;
III - a natureza e a categoria de dados afetados;
IV - o número de titulares afetados;
V - a avaliação do risco e os possíveis danos aos titulares;
VI - as medidas de correção e mitigação dos efeitos do incidente, quando
aplicável;
VII - a forma e o conteúdo da comunicação, se o incidente tiver sido
comunicado à Autoridade Nacional de Proteção de Dados e aos titulares; e
VIII - os motivos da ausência de comunicação, quando for o caso.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Art. 9º O Encarregado pelo Tratamento de Dados Pessoais deverá adotar as
providências necessárias, no âmbito dos órgãos e unidades integrantes da estrutura
organizacional do Ministério da Pesca e Aquicultura, a fim de atender às demandas da
Autoridade Nacional de Proteção de Dados.
Parágrafo
único. 
Os
órgãos
e
unidades 
integrantes
da
estrutura
organizacional do Ministério da Pesca e Aquicultura deverão atender, com prioridade,
as demandas do Encarregado pelo Tratamento de Dados Pessoais relacionadas a
incidentes de segurança.
Art. 10. Além das diretrizes estabelecidas nesta Portaria, o Encarregado pelo
Tratamento de Dados Pessoais deverá observar o Regulamento de Comunicação de
Incidente de Segurança, aprovado pela Resolução CD/ANPD nº 15, de 24 de abril de
2024, do Conselho Diretor da Autoridade Nacional de Proteção de Dados, bem como
outras orientações expedidas com o objetivo de auxiliar na avaliação do incidente de
segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 11. O Encarregado pelo Tratamento de Dados Pessoais deverá manter
a Secretaria-Executiva
informada das providências
e conclusões
relacionadas aos
incidentes de segurança ocorridos no âmbito do Ministério da Pesca e Aquicultura.
Art. 12. Esta Portaria entra em vigor na data da sua publicação.
ANDRÉ DE PAULA

Fechar