Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 20/01/2026 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152026012000111
111
Nº 13, terça-feira, 20 de janeiro de 2026
ISSN 1677-7042
Seção 1
ANEXO II
MODELO DE RESUMO EXECUTIVO DO INCIDENTE
[INSTRUÇÃO - REMOVER ANTES DO USO]
Este modelo destina-se ao registro
interno de resumo executivo de
incidente.
Preencha todos os campos entre colchetes [ ] e apague todas as linhas
iniciadas por "[INSTRUÇÃO - REMOVER ANTES DO
USO]" antes de finalizar o documento.
1. Identificação do
¸ Incidente:
[TÍTULO CURTO - EX.: "Acesso não autorizado ao sistema X"]
¸ Processo interno (SEI/MPOR):
[NÚMERO DO PROCESSO SEI]
¸ Data da ocorrência (se conhecida):
[DD/MM/AAAA]
¸ Data do conhecimento pelo MPOR:
[DD/MM/AAAA]
[INSTRUÇÃO - REMOVER ANTES DO USO]
Se a data da ocorrência não for conhecida, manter algo como: "não
identificada até o momento". A data do conhecimento é a data em que o MPOR teve
ciência de que o incidente afetou dados pessoais.
2. Síntese do incidente
[TEXTO CORRIDO - 2 A 4 LINHAS]
Descrever de forma objetiva:
¸ o que ocorreu;
¸ onde ocorreu (sistema, base de dados ou processo de trabalho);
¸ como foi identificado (ex.: alerta de monitoramento, reporte de usuário,
fornecedor, etc.).
[INSTRUÇÃO - REMOVER ANTES DO USO]
Exemplo de redação:
"Em [data], foi identificado acesso não autorizado ao sistema [nome],
utilizado para [finalidade]. O incidente foi detectado a partir de [alerta de segurança
/ reclamação de
usuário / reporte do fornecedor],
indicando possíveis acessos
indevidos a registros contendo dados pessoais."
3. Escopo e impacto
¸ Sistemas/bases afetados:
[LISTAR EM UMA LINHA - EX.: "Sistema X; base de cadastros Y"]
¸ Tipos de dados pessoais envolvidos (em linhas gerais):
[EX.: cadastrais, contato, autenticação, financeiros, sensíveis etc.]
¸ Estimativa de titulares afetados:
[NÚMERO APROXIMADO]
[INDICAR, SE RELEVANTE: presença de crianças, adolescentes, idosos ou
dados sensíveis]
[INSTRUÇÃO - REMOVER ANTES DO USO]
Não listar dados individuais, apenas categorias (tipo de dado) e estimativa
de quantidade.
Se ainda não houver estimativa, utilizar formulações como "estimativa em
apuração" ou "estimativa preliminar de aproximadamente [n] titulares".
4. Avaliação de risco (visão resumida)
[1 A 3 LINHAS]
Informar:
¸ classificação do risco para os titulares (baixo / médio / alto);
¸ justificativa breve (ex.: tipo de dado, combinação de dados, presença de
dados sensíveis, volume, possibilidade de fraude etc.).
[INSTRUÇÃO - REMOVER ANTES DO USO]
Exemplo de texto: "Risco considerado alto para os titulares, em razão da
combinação de dados de identificação pessoal (nome, CPF) com dados de contato, o
que pode facilitar tentativas de fraude e golpes direcionados."
5. Medidas adotadas
¸ Contenção imediata:
[DESCREVER AS PRINCIPAIS AÇÕES INICIAIS - EX.: bloqueio de acessos,
isolamento de serviço, suspensão de funcionalidade, revogação de credenciais]
¸ Medidas corretivas e de mitigação em andamento:
[DESCREVER, EM LINHAS GERAIS - EX.: ajuste de controles, revisão de
configurações, correção de vulnerabilidades, monitoramento reforçado, revisão de
procedimentos]
[INSTRUÇÃO - REMOVER ANTES DO USO]
Manter 
o 
nível
descritivo, 
sem 
expor 
detalhes
técnicos 
sensíveis
(configurações detalhadas, endereços internos, tecnologias específicas).
6. Comunicação
¸ Comunicação à ANPD:
- Tipo: [Preliminar / Completa / Complementar]
- Data de envio do CIS: [DD/MM/AAAA]
¸ Comunicação aos titulares:
- Situação: [não se aplica / planejada / em andamento / concluída em
DD/MM/AAAA]
- Meios: [ex.: e-mail, carta, mensagem em sistema, aviso em sítio eletrônico,
outros meios utilizados]
[INSTRUÇÃO - REMOVER ANTES DO USO]
Se a comunicação aos titulares não for aplicável (ex.: incidente sem risco ou
dano relevante), deixar claro o motivo no processo principal, se necessário. Aqui basta
registrar o status e os meios usados ou planejados.
[Local], [data]
[Nome do(a) Encarregado(a)]
Encarregado(a) pelo Tratamento de Dados Pessoais
Ministério de Portos e Aeroportos
ANEXO III
MODELO DE COMUNICAÇÃO AOS TITULARES DE DADOS PESSOAIS
(incidente de segurança com dados pessoais)
[INSTRUÇÃO - REMOVER ANTES DO ENVIO]
Preencha todos os campos entre colchetes. Apague todos os textos iniciados
por "[INSTRUÇÃO - REMOVER ANTES DO ENVIO]" antes de enviar ao titular.
Assunto:
Informação sobre
incidente de
segurança envolvendo
dados
pessoais
Prezado(a) Sr.(a). [NOME COMPLETO DO TITULAR],
O Ministério de Portos e Aeroportos (MPOR) informa a Vossa Senhoria a
ocorrência de incidente de segurança envolvendo dados pessoais tratados por este
Ministério.
1. Síntese do incidente
Em [DATA DA OCORRÊNCIA, SE CONHECIDA], foi identificado incidente de
segurança que afetou [DESCREVER, DE FORMA OBJETIVA, O SISTEMA, BASE DE DADOS
OU PROCESSO - EX.: "o sistema utilizado para cadastro de [G]"].
Em [DATA DO CONHECIMENTO PELO CONTROLADOR], o Ministério confirmou
que o incidente envolveu dados pessoais.
[INSTRUÇÃO - REMOVER ANTES DO ENVIO]
Se for relevante e já conhecido, incluir, em uma frase simples, a causa
resumida (ex.: falha de configuração, uso indevido de credenciais, ataque externo etc.).
Se ainda estiver em apuração, usar expressão como: "As causas do incidente ainda
estão em apuração."
2. Dados pessoais possivelmente afetados
Com base nas apurações realizadas até o momento, podem ter sido
afetados os seguintes tipos de dados pessoais:
¸ [EX.: nome completo]
¸ [EX.: CPF]
¸ [EX.: endereço de e-mail]
¸ [EX.: telefone de contato]
¸ [OUTROS DADOS RELEVANTES, DE FORMA GENÉRICA]
[INSTRUÇÃO - REMOVER ANTES DO ENVIO]
Descrever apenas o tipo de dado, sem trazer o dado específico do titular.
Se houver dados pessoais sensíveis e/ou dados de crianças, adolescentes ou idosos,
incluir texto claro, por exemplo: "Entre os dados afetados, há dados pessoais sensíveis
relacionados a [descrever em nível genérico]." OU "Foram identificados dados de
crianças/adolescentes/idosos entre os registros afetados."
3. Medidas de segurança e providências adotadas
Após a identificação do incidente,
foram adotadas, entre outras, as
seguintes providências para conter o evento e reduzir seus efeitos:
¸ [EX.: bloqueio de credenciais ou acessos relacionados ao incidente];
¸ [EX.: isolamento temporário de sistemas ou serviços afetados];
¸ [EX.: análise
técnica
para identificação
de
causas
e extensão
do
incidente];
¸ [EX.: aplicação de correções e reforço de controles de segurança];
¸ [EX.: comunicação do incidente à Agência Nacional de Proteção de Dados
- ANPD].
[INSTRUÇÃO - REMOVER ANTES DO ENVIO]
Listar apenas as medidas que de fato foram adotadas, em nível descritivo,
sem
expor
detalhes
sensíveis de
segurança
(configurações,
endereços
internos,
tecnologias específicas etc.).
4. Riscos e possíveis impactos
A depender do uso indevido das informações por terceiros não autorizados,
o incidente pode expor os titulares a riscos como, por exemplo:
¸ tentativas de fraude ou golpes por meio de e-mail, telefone ou aplicativos
de mensagem;
¸ utilização indevida de dados
pessoais para cadastros, contatos ou
abordagens não autorizadas;
¸ [OUTROS RISCOS ESPECÍFICOS IDENTIFICADOS NO CASO CONCRETO, SE
HOUVER].
Até o momento, [INDICAR, DE FORMA OBJETIVA, SE HÁ OU NÃO INDÍCIOS
DE USO INDEVIDO DOS DADOS - EX.: "não foram identificados indícios de uso indevido
dos dados pessoais", ou "foram identificados indícios de utilização indevida dos dados
em [descrever de forma genérica]"].
5. Medidas recomendadas ao titular
Para reduzir eventuais riscos, recomenda-se a Vossa Senhoria que:
¸ desconsidere e não responda a mensagens suspeitas que solicitem dados
pessoais, bancários ou códigos de autenticação;
¸ não compartilhe senhas ou códigos recebidos por SMS, e-mail ou
aplicativos de mensagem;
¸ acompanhe com atenção eventuais movimentações ou comunicações que
possam indicar uso indevido de seus dados;
¸ em caso de dúvida, utilize apenas canais oficiais de atendimento para
confirmação de contatos ou solicitações;
¸ [OUTRAS
MEDIDAS
ESPECÍFICAS, SE
COUBER
-
EX.:
ACOMPANHAR
EXTRATOS, REGISTROS DE SERVIÇOS, ETC.].
6. Canais de contato
Para esclarecimentos adicionais ou para comunicar fatos que possam estar
relacionados a este incidente, Vossa Senhoria poderá contatar:
Encarregado pelo Tratamento de Dados Pessoais - Ministério de Portos e
Aeroportos
E-mail: [E-MAIL PARA CONTATO]
Telefone: [TELEFONE PARA CONTATO]
Endereço: [ENDEREÇO INSTITUCIONAL, SE APLICÁVEL]
7. Prazo e fundamento da comunicação
Esta comunicação é realizada em atendimento à Lei nº 13.709/2018 (Lei
Geral de Proteção de Dados Pessoais) e ao Regulamento de Comunicação de Incidente
de Segurança da Agência Nacional de Proteção de Dados (Resolução CD/ANPD nº
15/2024), que estabelecem o dever de informar à autoridade nacional e aos titulares
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante
aos titulares.
[INSTRUÇÃO - REMOVER ANTES DO ENVIO]
Utilizar o parágrafo abaixo apenas se a comunicação estiver sendo enviada
fora do prazo regulamentar.
(Usar somente em caso de atraso)
A presente comunicação é enviada nesta data em razão de [DESCREVER, DE
FORMA OBJETIVA, OS MOTIVOS DA DEMORA - EX.: necessidade de confirmar a
extensão dos dados afetados, necessidade de estabilizar o ambiente para evitar novos
riscos, indisponibilidade temporária de sistemas de apuração].
O Ministério de Portos e Aeroportos lamenta o ocorrido e reafirma seu
compromisso com a proteção dos dados pessoais sob sua responsabilidade,
permanecendo à disposição para os esclarecimentos que se fizerem necessários.
At e n c i o s a m e n t e ,
[NOME DO(A) ENCARREGADO(A)]
Encarregado(a) pelo Tratamento de Dados Pessoais
Ministério de Portos e Aeroportos
(*) Republicada por ter saído, no DOU de 16-01-2026, nº 11, Seção 1, págs. 70-71, com
incorreção no original.

Fechar