Em dezembro de 2025, foi noticiada a exposição indevida de dados sigilosos de crianças e adolescentes vinculados a processos da Infância e Juventude do Tribunal de Justiça do Estado de São Paulo (TJ-SP), com informações localizadas em plataformas de busca jurídica.
Independentemente da origem técnica específica — seja por falha de publicação, extração a partir de fontes oficiais, uso indevido de acesso legítimo ou outra hipótese — o episódio evidencia um ponto essencial: incidentes envolvendo dados de menores de idade são, por natureza, de altíssimo impacto e exigem prevenção robusta e capacidade efetiva de resposta, com governança, processos e pessoas devidamente preparadas.
Como é amplamente reconhecido, dados pessoais de crianças e adolescentes demandam proteção reforçada. Além do sigilo legal aplicável aos processos da Infância e Juventude, sob a ótica da proteção de dados pessoais, trata-se de um contexto em que o risco de dano reputacional, estigmatização, discriminação e outros impactos negativos é significativamente ampliado. Por essa razão, a atuação do controlador deve refletir essa realidade de forma concreta, desde o desenho do tratamento até a resposta a incidentes de segurança.
Segurança da informação como prevenção
A melhor resposta a um incidente de segurança da informação continua sendo a sua prevenção, o que pressupõe a adoção de medidas técnicas e administrativas consistentes, proporcionais ao risco e ao volume ou à sensibilidade dos dados tratados. Na prática, em organizações que lidam com dados sensíveis e/ou de grupos vulneráveis, medidas preventivas costumam ser determinantes para evitar ou mitigar eventos dessa natureza, tais como:
1) Classificação e minimização de dados: mapeamento de fluxos, classificação das informações por criticidade e aplicação do princípio da minimização, com tratamento apenas dos dados estritamente necessários ao atendimento das finalidades pretendidas. Essa prática reduz significativamente a “superfície” do incidente caso algo falhe.
2) Controle de acesso e segregação: adoção de políticas de acesso baseadas na necessidade, autenticação de múltiplos fatores, revisão periódica de perfis e segregação de funções. Em ambientes que envolvem documentos sigilosos, falhas aparentemente pequenas de permissão podem resultar em exposições de grande escala.
3) Gestão de terceiros e plataformas: incidentes frequentemente decorrem da cadeia de fornecedores, indexadores, prestadores de serviços e integrações tecnológicas. Cláusulas contratuais específicas, auditorias, SLAs de segurança e procedimentos claros de desindexação e remediação devem estar previamente estruturados para mitigar os efeitos de eventuais incidentes.
4) Monitoramento e resposta rápida: manutenção de logs adequados, mecanismos de detecção de acessos anômalos e playbooks de contenção são fortemente recomendados, considerando que o tempo de reação é um fator crítico para a redução de danos.
Essas medidas não substituem a conformidade jurídica, mas a materializam e demonstram diligência, o que pode refletir positivamente na avaliação de eventuais penalidades a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).
A resposta efetiva exige um time preparado
A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) atribui ao controlador o dever de comunicar incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, além de exigir capacidade técnica e organizacional para avaliar, documentar e agir com rapidez na contenção do evento.
Na prática, essa atuação raramente é viável de forma individual. Por essa razão, além de um Encarregado (DPO) atuante, é indispensável contar com um time multidisciplinar — interno e/ou externo — com conhecimento em proteção de dados, segurança da informação, gestão de crise e comunicação. Embora não exista um modelo único ou engessado para essa estrutura, a atuação coordenada do Encarregado com profissionais das áreas jurídica, de segurança da informação, comunicação/marketing e alta administração tende a resultar em respostas mais eficientes, evitando atrasos na comunicação e endereçando, de forma diligente e célere, os riscos decorrentes do incidente.
Nesse contexto, merece destaque o Regulamento de Comunicação de Incidente de Segurança, aprovado pela ANPD por meio da Resolução CD/ANPD nº 15/2024, que estabelece procedimentos específicos e reforça os princípios de transparência e responsabilização. Dois pontos do regulamento são especialmente relevantes:
- Prazo: a comunicação à ANPD deve ocorrer, em regra, no prazo de até três dias úteis, observadas eventuais exceções previstas em legislação específica e as particularidades do caso concreto.
- Comunicação em etapas: caso nem todas as informações estejam disponíveis de imediato, admite-se a realização de comunicação preliminar, com posterior complementação, desde que devidamente justificada e acompanhada de prazos definidos.
O regulamento também reforça a necessidade de registro do incidente e detalha o conteúdo mínimo da comunicação aos titulares, exigindo linguagem clara e acessível. Assim, a ANPD sinaliza que uma comunicação efetiva deve ir além da simples descrição do ocorrido, contemplando análise de riscos, relato técnico do que foi apurado e orientações práticas aos titulares sobre medidas de autoproteção, quando aplicáveis. Ao mesmo tempo, essa transparência deve ser equilibrada, de modo a não expor indevidamente segredos comerciais ou informações estratégicas.
Para evitar uma atuação meramente reativa, recomenda-se que empresas e instituições mantenham, ao menos:
- Plano de Resposta a Incidentes, com definição clara de responsabilidades, gatilhos, prazos e medidas de aprendizado;
- Templates de comunicação à ANPD e aos titulares, previamente revisados pelas áreas jurídica, pelo Encarregado e pela comunicação, a serem adaptados conforme o caso concreto;
- Treinamentos recorrentes, abrangendo não apenas a área de TI, mas também atendimento, operações e demais áreas envolvidas;
- Gestão estruturada de terceiros, com cláusulas contratuais e rotinas de segurança adequadas; e
- Testes periódicos para simulação de incidentes reais.
Conclusão
O caso em comento reforça que incidentes envolvendo dados pessoais — especialmente de crianças e adolescentes — não se limitam a um problema tecnológico ou jurídico, mas configuram um tema central de governança, prevenção e prontidão organizacional.
Investir em segurança da informação como medida preventiva e contar com um Encarregado (DPO) devidamente respaldado por um time experiente em proteção de dados são fatores determinantes para diferenciar organizações que conseguem conter e resolver crises com diligência daquelas que acabam ampliando os impactos sobre os titulares, sobre a operação e sobre sua responsabilidade perante a ANPD.
—
Advogado(a) autor(a) do comentário: Pedro Moreno da Cunha Lins, Pedro Zardo Júnior e Cesar Peduti Filho, Peduti Advogados
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
