Num mundo cada vez mais digitalizado, os ataques cibernéticos se tornam não apenas mais frequentes, mas também mais sofisticados e devastadores. De acordo com o Panorama de Ameaças da América Latina, a cada minuto ocorrem 1.379 ataques hackers na região.
Nas últimas semanas, o Brasil foi palco de dois episódios que chamaram a atenção. O primeiro envolveu o vazamento de dados no site da Centauro, rede varejista de artigos esportivos. O segundo, e maquis grave, foi um ataque à C&M Software, empresa responsável por interligar bancos ao sistema PIX do Banco Central, resultando em um prejuízo que ultrapassa meio bilhão de reais.
Diante desses casos, surge uma pergunta central: quem responde quando a segurança falha e os dados dos usuários são expostos ou desviados?
Para entender os desdobramentos jurídicos e os limites de responsabilidade à luz da Lei Geral de Proteção de Dados (LGPD), a Análise ouviu especialistas em segurança da informação, direito digital e proteção de dados.
O que revelam os ataques recentes?
Os dois episódios recentes demonstram o quanto a segurança da informação ainda é tratada de forma desigual no ambiente corporativo. No caso da Centauro, uma falha no protocolo de autenticação permitiu o acesso indevido a contas de clientes sem necessidade de senha. Já no caso da C&M Software, o ataque envolveu o uso doloso de credenciais por um ex-funcionário, permitindo o desvio de recursos significativos por meio da conexão ao sistema PIX do Banco Central.
Na avaliação da advogada Larissa Pigão Fioravante, do Pigão, Ferrão e Fioravante Sociedade de Advogados, esses acontecimentos expões a distância entre os ataques e segurança, e que algumas empresas ainda não veem a proteção de dados como um investimento. "Esses casos escancaram o abismo entre a sofisticação dos ataques cibernéticos e o nível médio de maturidade em segurança da informação no Brasil. Ainda há muitas empresas que veem a proteção de dados como um custo, e não como um investimento estratégico. A transformação digital acelerada, somada à pressão por agilidade, criou brechas — e os cibercriminosos sabem exatamente onde mirar. É um problema que afeta desde grandes varejistas até empresas fornecedoras de infraestrutura crítica, como no caso da integração com o PIX."
Já para Roberta Raccioppi, advogada no EFCAN Advogados, mesmo com legislações avançadas sobre proteção de dados ainda é comum encontrar sistemas de segurança sem investimentos. "Apesar de termos uma legislação já bastante robusta, assim como a LGPD, além das normas específicas setoriais, de forma genérica ainda é comum encontrar infraestruturas defasadas, práticas de governança falhas e baixo investimento em cibersegurança, especialmente quando falamos na integração entre sistemas internos e prestadores terceirizados."
"Ademais, ainda se necessário o constante investimento em treinamento que leve a uma mudança real cultural a fim de que a segurança da informação deixe de ser apenas uma responsabilidade da área de TI e passe a ser tratada como prioridade de negócio. Sem isso, o ciclo de incidentes tende a se repetir, com consequências e custos cada vez maiores", acrescentou Roberta.
Dever de segurança e compliance à luz da LGPD
A Lei Geral de Proteção de Dados (LGPD) impõe, em seu art. 46, o dever de adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e incidentes como perda, vazamento ou destruição.
Para o advogado Luis Felipe Tolezani, da Lopes & Castelo Sociedade de Advogados, o chamado "dever de segurança" previsto na LGPD está relacionado à capacidade da empresa de implementar uma estrutura mínima de proteção de dados. "A lei exige a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Isso inclui, por exemplo, controle de acesso, criptografia, segmentação de redes e treinamentos de conscientização", explica.
Tolezani afirmou que já há um entendimento consolidado sobre práticas mínimas que devem ser adotadas pelas empresas para garantir a segurança dos dados e evitar responsabilizações. "Já se reconhece um padrão mínimo de maturidade digital que toda empresa deveria observar para reduzir riscos e evitar responsabilizações."
Entre essas práticas, ele aponta: "inventário de dados e o mapeamento de riscos, a adoção de políticas claras de privacidade e segurança, a nomeação formal de um encarregado pelo tratamento de dados (DPO), a formalização de contratos com cláusulas específicas de proteção de dados, a existência de um plano de resposta a incidentes, a realização periódica de testes de vulnerabilidade e a manutenção de backups seguros." Para o advogado, "o treinamento contínuo das equipes é indispensável para garantir que as práticas adotadas estejam internalizadas na cultura da organização."
Quem responde quando a segurança falha?
A LGPD define claramente os agentes de tratamento: o controlador, que decide como os dados serão tratados, e o operador, que realiza o tratamento por conta do controlador. Ambos têm responsabilidades solidárias.
Sobre o caso da Centauro, Larissa pontuou quem responde diante de casos onde há falhas. "A empresa controladora dos dados, neste caso, a Centauro, é a principal responsável perante os titulares. A LGPD estabelece que o controlador tem o dever de adotar medidas de segurança adequadas. Mas isso não exclui a responsabilidade de operadores terceirizados, se ficar demonstrada falha de sua parte. E, claro, se o hacker for identificado, ele pode responder criminalmente. O problema é que, na maioria dos casos, os criminosos agem a partir de fora do país e em anonimato".
"Como regra geral, o Controlador dos dados pessoais é o responsável face aos titulares e à Autoridade Nacional de Proteção de Dados - ANPD. Ao controlador cabe a responsabilidade por contratar terceiros idôneos e que também efetivamente cumpram a legislação e mantenham a devida segurança da informação. O operador responde solidariamente quando não cumprir a lei ou deixar de atender as orientações expressas do Controlador. Aqui mora a necessidade de um contrato muito bem estruturado entre as Partes, além de processos robustos de auditoria e fiscalização", acrescentou Roberta.
Já no caso da C&M Software, Roberta destacou que a responsabilidade pode ser de ambas as partes. "No contexto de um sistema que conecta bancos ao PIX, como no caso da C&M Software, é possível haver corresponsabilidade entre os bancos envolvidos e a C&M. A empresa, na condição de operadora, tem o dever de garantir a segurança e o sigilo técnico no tratamento dos dados. Já os bancos, como controladores, são responsáveis por contratar e fiscalizar fornecedores que atendam aos padrões exigidos pelo Banco Central e pela legislação aplicável, incluindo a LGPD".
Larissa ainda ressaltou que o BC pode não responder de forma automática, dada a responsabilidade distinta que tem. "Quanto ao Banco Central, sua responsabilidade é distinta. Ele é o gestor do sistema PIX e provê a infraestrutura central, mas não trata diretamente os dados dos usuários finais. Assim, só haveria responsabilidade do Banco Central se fosse comprovada alguma falha direta na regulação, na estrutura do sistema ou na supervisão técnica. Ou seja, ele não responde de forma automática, nem de forma subsidiária, por falhas ocorridas em sistemas privados que apenas se conectam à sua infraestrutura".
Sanções, penalidades e o papel da ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções administrativas que vão desde advertências até multas de até R$ 50 milhões por infração, conforme regulação própria (Resolução ANPD nº 4/2023).
Segundo Larissa, as sanções nos casos mencionados dependerão de alguns fatores. "A ANPD já está atuando em casos semelhantes. Ela costuma priorizar incidentes de grande repercussão ou com risco alto para os titulares. A atuação depende de análise técnica e pode envolver desde advertência até multa. A abertura de um processo sancionador depende da comprovação de falhas nas medidas preventivas ou na resposta ao incidente, como ausência de comunicação adequada aos titulares".
Roberta destacou que as multas administrativas podem alcançar até R$ 50 milhões. "A dosimetria é baseada em critérios objetivos e graduados, conforme a Resolução da ANPD nº 4/2023. A multa administrativa pode chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, mas a ANPD analisa fatores como: gravidade do incidente, dano potencial ou real aos titulares, grau de culpa, medidas preventivas adotadas, e colaboração da empresa com a investigação".
Entretanto, Tolezani ressaltou que a ANPD vem se posicionando de uma maneira mais conscientizadora e menos punitiva. "Embora a ANPD possua capacidade fiscalizatória e sancionatória, a autarquia tem adotado uma linha mais conscientizadora, do que punitiva. Isso significa que, embora as sanções sejam possíveis, elas são pouco prováveis".
"Neste sentido, conforme dados divulgados pela própria ANPD, desde 2021, a Autoridade foi notificada sobre a ocorrência de 1.146 incidentes de segurança. Destes, instruiu 42 processos fiscalizatórios, e aplicou sanção em 11 deles", concluiu Tolezani.