A Resolução 740/2020 da Anatel, atualizada em 2024 pela Resolução 767, estabeleceu um novo marco regulatório para a segurança cibernética no setor de telecomunicações brasileiro. Conhecido como R‑Ciber, o regulamento exige das prestadoras — inclusive de pequeno porte — a adoção de políticas, estruturas de governança e respostas técnicas organizadas para mitigar riscos cibernéticos.
A novidade, no entanto, não está apenas no escopo técnico da norma, mas no que ela representa para a convergência entre regulação setorial, proteção de dados e governança corporativa. A Resolução 740 não opera isoladamente. Ela se alinha com as obrigações previstas na Lei Geral de Proteção de Dados (LGPD) — especialmente nos artigos 46 a 48, que tratam do dever de segurança, da prevenção e da notificação de incidentes de dados pessoais.
Com isso, a resposta jurídica e regulatória a incidentes cibernéticos não pode ser fragmentada: o descumprimento da R‑Ciber pode representar:
✔️ Infração administrativa perante a Anatel;
✔️ Violação de dever legal sob a LGPD, com possível atuação da ANPD
✔️ Falha de dever de diligência por parte da administração da empresa, ensejando responsabilização civil (ou até penal).
A resposta estratégica para esse cenário está na integração entre compliance cibernético, proteção de dados e governança corporativa. O R‑Ciber exige uma abordagem coordenada, que envolva:
✅ Elaboração de políticas internas de segurança cibernética, com protocolos de resposta, classificação de ativos e proteção de infraestrutura crítica;
✅ Treinamento e capacitação de equipes, inclusive da alta administração, conforme os princípios do art. 5º do regulamento;
✅ Mapeamento de riscos e terceiros, especialmente fornecedores de software, data centers e cloud computing, previsto na Resolução 767/2024;
✅ Integração com o programa de privacidade já existente, para garantir conformidade cruzada com a LGPD (inclusive quanto à comunicação de incidentes);
✅ Documentação e rastreabilidade de decisões e processos, essenciais para a prestação de contas às autoridades reguladoras e judiciais.
A jurisprudência recente tem reforçado o entendimento de que a omissão em adotar medidas de governança pode gerar responsabilização dos administradores com base no dever de diligência (CC art. 1.011 e LSA art. 153).
Além disso, decisões sobre vazamentos de dados têm atribuído responsabilidade objetiva a empresas que não demonstram políticas robustas de segurança — o que pode, em breve, se estender a casos envolvendo empresas reguladas pela Anatel.
Assim, podemos dizer que a Resolução 740/2020 é mais do que um regulamento técnico: é um vetor normativo que impõe deveres jurídicos concretos às empresas. Ignorá-la é abrir espaço para responsabilizações administrativas, civis e reputacionais. Integrá-la ao compliance e à LGPD, por outro lado, é transformar obrigação em vantagem estratégica e proteção institucional.
Artigos
Jovem aprendiz: remuneração entra na base da contribuição previdenciária
Por unanimidade, a 1ª Seção do Superior Tribunal de Justiça (STJ) firmou entendimento, na primeira quinzena de agosto, em julgamento submetido à sistemática dos recursos
9 de setembro de 2025
