Vazamento de dados na Cemig: o que empresas devem aprender com o incidente

Banner da TOGETHER sobre vazamento de dados na Cemig e lições de LGPD para resposta a incidentes

Vazamento de dados na Cemig: o que empresas devem aprender com o incidente

Em maio de 2026, a Cemig comunicou ao mercado a ocorrência de um incidente de segurança cibernética que ocasionou a exposição de dados pessoais de parte da sua base de clientes. Segundo o Fato Relevante divulgado pela companhia, foram identificados aproximadamente 135 mil clientes afetados.

As informações expostas incluíam nome, filiação, CPF, endereço, e-mail, número de telefone e valor de fatura. A empresa informou que o acesso não autorizado foi bloqueado após a detecção, que não houve prejuízo às operações e que o caso foi comunicado à ANPD, à Aneel e à autoridade policial. Também declarou ter iniciado investigação técnica e comunicação individualizada aos clientes identificados como afetados, com orientações de segurança e prevenção contra possíveis fraudes.

O caso envolve uma grande companhia, mas o alerta vale para empresas de qualquer porte: incidente de dados não é apenas um problema de TI. É um teste real de governança, mapeamento, documentação, comunicação e capacidade de resposta.

O impacto não se limita ao ambiente afetado

É comum que empresas avaliem um incidente olhando primeiro para a continuidade operacional. O ambiente afetado saiu do ar? Houve interrupção do serviço? A operação financeira foi afetada?

Essas perguntas são importantes, mas não bastam para proteção de dados. Mesmo quando a operação continua funcionando, pode haver impacto relevante para os titulares se informações pessoais forem expostas, copiadas, acessadas ou usadas por terceiros.

Dados como CPF, endereço, e-mail, telefone e valor de fatura podem ser combinados em tentativas de fraude, golpes de engenharia social, contatos falsos de cobrança, atualização cadastral indevida ou mensagens que parecem legítimas porque carregam detalhes reais da relação com a empresa.

Na prática, isso significa que a empresa precisa avaliar não só o dano interno, mas também o risco para as pessoas afetadas.

Comunicação de incidente exige preparo antes da crise

No Brasil, a LGPD prevê a comunicação de incidentes de segurança à Autoridade Nacional de Proteção de Dados e aos titulares quando o incidente puder acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15/2024 detalha esse processo e estabelece, em linhas gerais, que a comunicação deve trazer informações sobre a natureza do incidente, categorias de dados afetados, número de titulares, riscos envolvidos, medidas de segurança adotadas, ações de mitigação e dados do encarregado ou representante do controlador.

Quando aplicável, a Resolução prevê comunicação em até 3 dias úteis, contados do conhecimento pelo controlador de que o incidente afetou dados pessoais e pode acarretar risco ou dano relevante, sem prejuízo de regras setoriais específicas. Essa avaliação deve considerar, por exemplo, possibilidade de fraude, uso indevido de identidade, prejuízo financeiro, exposição de dados sensíveis, credenciais, dados financeiros ou impacto em grupos vulneráveis.

Por isso, a empresa não pode começar a desenhar o fluxo apenas depois que o problema aparece.

Um bom plano de resposta precisa responder rapidamente a perguntas como:

  • quais sistemas e bases foram afetados;
  • quais dados pessoais estavam envolvidos;
  • quantas pessoas podem ter sido impactadas;
  • quais fornecedores ou operadores participaram do tratamento;
  • quais medidas de contenção já foram adotadas;
  • qual é o risco concreto para os titulares;
  • quem aprova a comunicação à ANPD, aos titulares e a outros órgãos;
  • quem registra evidências, logs, decisões e prazos.

Sem esse preparo, a empresa perde tempo justamente quando mais precisa de coordenação.

Mapeamento de dados faz diferença na resposta

Um dos maiores problemas em incidentes é descobrir, tarde demais, que a organização não sabe exatamente onde os dados estão.

Quando não há mapeamento atualizado, a investigação fica mais lenta. A equipe precisa entender quais sistemas armazenam dados de clientes, quais integrações existem, quem tem acesso, quais fornecedores recebem informações, por quanto tempo os dados são mantidos e quais bases podem ter sido expostas.

Esse atraso aumenta risco regulatório, dificulta a comunicação aos titulares e pode enfraquecer a própria contenção técnica.

Por isso, inventário de dados não deve ser tratado como documento estático de compliance. Ele precisa servir à operação. Em um incidente, o mapeamento deve ajudar a empresa a localizar dados, avaliar impacto, priorizar medidas e explicar o ocorrido com mais precisão.

O papel do DPO na gestão de incidentes

O encarregado pelo tratamento de dados pessoais, ou DPO, não substitui as áreas de segurança, jurídico, TI ou comunicação. Mas ele tem papel importante na coordenação da resposta sob a perspectiva da LGPD.

Na prática, o DPO ajuda a conectar áreas que precisam agir juntas: segurança da informação, jurídico, atendimento, marketing, financeiro, liderança, fornecedores e, quando aplicável, relações com investidores ou órgãos reguladores setoriais.

Esse papel é especialmente importante porque a resposta a incidentes envolve decisões que não são apenas técnicas. A empresa precisa avaliar risco aos titulares, linguagem de comunicação, base documental, prazos, evidências, deveres regulatórios e acompanhamento posterior.

Quando esse fluxo não está claro, cada área tende a agir isoladamente. E isso pode gerar respostas inconsistentes, comunicações incompletas ou demora na tomada de decisão.

O que empresas deveriam revisar agora

O caso Cemig é uma boa oportunidade para empresas revisarem a própria prontidão. Alguns pontos merecem atenção:

  1. Plano de resposta a incidentes
    Existe um procedimento claro para identificar, conter, investigar, documentar e escalar incidentes envolvendo dados pessoais?
  1. Matriz de decisão para comunicação
    A empresa sabe avaliar quando pode haver risco ou dano relevante aos titulares e quando a comunicação à ANPD e aos titulares pode ser necessária?
  1. Inventário de dados e sistemas
    É possível saber rapidamente onde estão os dados de clientes, colaboradores, leads, usuários e fornecedores?
  1. Gestão de acessos
    Quem acessa bases pessoais? Há segregação por função, revisão periódica de permissões e registros de acesso?
  1. Fornecedores e operadores
    Contratos, integrações, sistemas de atendimento, cloud, CRM, cobrança, suporte e analytics estão mapeados e têm responsabilidades definidas? Os contratos e fluxos com operadores preveem notificação rápida de incidentes, cooperação técnica, preservação de evidências, prazos de resposta e responsabilidades de comunicação?
  1. Comunicação com titulares
    A empresa tem modelos, canais e responsáveis para orientar pessoas afetadas de forma clara, sem gerar pânico e sem omitir riscos relevantes? A comunicação informa canais oficiais, cuidados contra golpes, quais dados foram afetados, o que a empresa não solicita por telefone ou mensagem e como o titular pode confirmar contatos legítimos?
  1. Treinamento contra fraude e engenharia social
    Atendimento, cobrança, suporte e comercial sabem como agir quando um cliente relata golpe, contato suspeito ou uso indevido de dados?
  1. Registro e evidências
    As decisões tomadas durante o incidente ficam documentadas para auditoria, melhoria interna e eventual fiscalização?

Segurança é também rotina de negócio

Incidentes de dados não acontecem apenas em empresas de tecnologia. Qualquer organização que mantenha cadastro, fatura, contrato, atendimento, cobrança, e-mail, telefone ou histórico de relacionamento trata dados pessoais e pode ser alvo de acessos indevidos.

A maturidade não está em prometer que nunca haverá incidente. Está em reduzir a probabilidade, limitar o impacto, detectar rápido, responder com método e aprender com cada evento.

Isso exige controles técnicos, mas também processos administrativos: política de acesso, classificação de dados, revisão de fornecedores, treinamento, canal de reporte, plano de crise, registro de incidentes e governança contínua.

Como a TOGETHER pode apoiar

A TOGETHER ajuda empresas a transformar proteção de dados em rotina prática. No contexto de incidentes, isso pode envolver mapeamento de dados, plano de resposta, matriz de risco, revisão de fornecedores, comunicação com titulares, treinamento de equipes e apoio contínuo de DPO as a Service.

A pergunta que toda empresa deveria fazer depois de uma notícia como essa é simples: se um incidente acontecesse hoje, sua organização saberia quais dados foram afetados, quem precisa ser acionado e como comunicar o risco de forma adequada?

Se sua empresa precisa revisar a prontidão para incidentes, estruturar um plano de resposta ou contar com apoio contínuo de DPO as a Service, a TOGETHER pode ajudar com uma abordagem prática e proporcional ao seu contexto.

Compartilhe:

Linkedin

Quer saber mais?

Se inscreva em nossa newsletter e receba atualizações sobre privacidade.

Últimos posts

Privacidade

Contato

  • Av. Eng Luiz Carlos Berrini, n. 1681, Salas 111 e 112, Cidade Monções, São Paulo - SP - 04.571-011
  • (11) 98952-6265 / (11) 5178-3235

© 2026 TOGETHER | Todos os direitos reservados

Se interessou por nossas soluções?
Agende uma demonstração gratuita!

Agende uma demo