Artigo
25/07/2024
Atualizado em 23/04/2026

LGPD: as Violações de Dados e Dicas de Como Prevenir

A LGPD estabelece diretrizes para proteger dados pessoais no Brasil, exigindo medidas de segurança para prevenir e notificar violações, incluindo ataques cibernéticos e vazamentos.

Imagem de capa do artigo

A Lei nº 13.709 de 2018, mais conhecida como "Lei Geral de Proteção de Dados Pessoais", ou simplesmente "LGPD", estabeleceu diretrizes e regulamentações sobre o tratamento de dados pessoais no Brasil, visando proteger os direitos fundamentais de liberdade e de privacidade.

Neste sentido, a prevenção de violações de dados é intrinsecamente ligada às disposições da LGPD, que impõem responsabilidades e obrigações específicas às empresas para garantir a segurança dos dados pessoais que processam, por isto queria falar mais sobre este tema de como as violações de dados se relacionam com a LGPD.

Pois a LGPD é clara em requerer que as empresas adotem medidas de segurança para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, onde essas medidas de segurança são essenciais para prevenir violações de dados, conforme estipulado no Artigo 6º, inciso VII da LGPD:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

O Que é uma Violação de Dados?

Violações de dados envolvem o acesso não autorizado a informações sensíveis, e isso pode ocorrer de várias formas, incluindo ataques diretos à rede de uma organização ou através de brechas em terceiros que possuem acesso aos sistemas internos da empresa. As violações por terceiros são especialmente preocupantes, pois esses fornecedores geralmente possuem padrões de segurança mais fracos, facilitando a entrada de atacantes.

Conforme definido na LGPD, uma violação de dados pessoais ocorre quando há um incidente de segurança que causa, de maneira acidental ou ilícita, a destruição, perda, alteração, comunicação ou acesso não autorizado a dados pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento. A LGPD exige que os controladores notifiquem a Agência Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados sobre a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

A Diferença Entre Vazamentos de Dados e Violações de Dados:

Os termos "vazamento de dados" e "violação de dados" são frequentemente usados de forma intercambiável, mas representam eventos distintos. Vazamentos de dados ocorrem quando informações sensíveis são expostas ao público de maneira não intencional, como devido a configurações incorretas de segurança ou publicação não autorizada de dados, já as violações de dados resultam de ataques cibernéticos planejados que exploram vulnerabilidades de segurança para acessar redes e informações sensíveis.

A LGPD não faz uma distinção explícita entre vazamentos e violações de dados, mas trata ambos os eventos como incidentes de segurança que devem ser gerenciados e notificados conforme os artigos 48 e 49 da lei. A diferenciação técnica é relevante para a implementação de medidas corretivas específicas, mas ambas situações exigem resposta e comunicação conforme as diretrizes da LGPD.

Exemplos de Violações de Dados:

Em janeiro de 2021, um vazamento massivo expôs dados pessoais de mais de 220 milhões de brasileiros, incluindo informações de CPF, nome completo, data de nascimento e outras informações pessoais. Esse vazamento afetou dados de clientes de diversas empresas de telecomunicações e foi um dos maiores incidentes de segurança de dados do país. A investigação revelou que as informações foram disponibilizadas em fóruns da dark web.

Outro incidente significativo ocorreu em 2021, envolvendo a Serasa Experian. Dados sensíveis de milhões de brasileiros foram divulgados na internet, incluindo informações de crédito e históricos financeiros. A empresa confirmou que um conjunto de dados vazou, mas afirmou que não havia evidências de que suas bases de dados principais haviam sido comprometidas. Este incidente trouxe à tona discussões sobre a segurança das informações pessoais em instituições de análise de crédito.

Em dezembro de 2021, o Ministério da Saúde sofreu um ataque cibernético que resultou na indisponibilidade dos sistemas de informações de saúde, incluindo o ConecteSUS, que armazena dados sobre a vacinação contra a COVID-19. O ataque, que envolveu o uso de ransomware, comprometeu dados pessoais de milhões de brasileiros, incluindo informações sensíveis de saúde. A ANPD foi notificada, e medidas de contenção foram implementadas para restaurar os serviços.

Em janeiro de 2022, a Eletronuclear, uma subsidiária da Eletrobras responsável pela operação de usinas nucleares no Brasil, sofreu um ataque cibernético que resultou no vazamento de dados sensíveis. Os dados comprometidos incluíam informações sobre funcionários, fornecedores e operações internas. A Eletronuclear notificou a ANPD e trabalhou com especialistas em segurança cibernética para mitigar os danos e reforçar suas defesas.

Em abril de 2022, a Atento, uma empresa de serviços de call center, foi alvo de um ataque cibernético que resultou no vazamento de dados pessoais de clientes e funcionários. Entre os dados expostos estavam nomes, endereços, números de telefone e outras informações pessoais. A empresa informou a ANPD e tomou medidas para fortalecer sua segurança cibernética e proteger os dados dos afetados.

Em novembro de 2022, o iFood, uma das maiores plataformas de entrega de alimentos do Brasil, teve dados de clientes e entregadores vazados. Os dados incluíam informações pessoais, como nomes, endereços e históricos de pedidos. O incidente foi rapidamente comunicado à ANPD, e a empresa implementou ações para mitigar os impactos e reforçar a segurança de sua infraestrutura digital.

Em maio de 2023, o Grupo Fleury, uma das maiores redes de laboratórios de diagnósticos do Brasil, sofreu um ataque cibernético que afetou a disponibilidade de seus sistemas e resultou no vazamento de dados sensíveis de pacientes. Informações comprometidas incluíam resultados de exames e dados pessoais. A ANPD foi notificada, e o Grupo Fleury trabalhou para restaurar seus sistemas e proteger os dados dos pacientes.

Em setembro de 2023, dados pessoais de milhares de estudantes que participaram do Exame Nacional do Ensino Médio (ENEM) foram vazados. As informações expostas incluíam nomes, CPF, e-mails e notas dos exames. O Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) notificou a ANPD e iniciou uma investigação para identificar a origem do vazamento e prevenir futuros incidentes.

A lei exige que as empresas documentem e comuniquem incidentes de segurança, mantendo registros detalhados para auditorias futuras. Exemplos práticos ajudam a ilustrar a importância de cumprir com as obrigações de segurança e notificação para evitar penalidades e sanções previstas na LGPD.

Conteúdo do artigo
LGPD = as Violações de Dados e Dicas de Como Prevenir

Caminho do Ataque Cibernético:

Compreender as etapas de um ataque cibernético é fundamental para a prevenção eficaz de violações de dados, onde o caminho típico do ataque cibernético pode ser dividido em cinco fases:

Ataque de Phishing: Um e-mail fraudulento é enviado para a vítima, contendo links ou anexos maliciosos.

Comprometimento de Conta: A vítima realiza a ação pretendida, permitindo o acesso do atacante ao computador da vítima.

Movimentação Lateral: O atacante explora a rede, aprende seu layout e busca credenciais privilegiadas.

Escalada de Privilégios: O atacante compromete credenciais privilegiadas para acessar dados altamente sensíveis.

Exfiltração de Dados: Os dados valiosos são transferidos para servidores controlados pelos atacantes.

A implementação de medidas para identificar, mitigar e responder a riscos de segurança é essencial para a conformidade com a LGPD.

Prevenção de Violações de Dados:

Uma estratégia eficaz de prevenção de violações de dados envolve adicionar resistência ao caminho do ataque cibernético, dificultando a progressão dos atacantes em direção ao objetivo de roubo de dados. Esta estratégia pode ser dividida em duas etapas principais:

Estágio 1: Prevenção de Comprometimento de Rede:

Para maximizar as chances de mitigar violações de dados, é crucial prevenir a penetração da rede. Isso inclui:

Treinamento de Conscientização Cibernética: Capacitar os funcionários para reconhecer e responder a ameaças cibernéticas, como ataques de phishing e engenharia social.

Gestão de Vulnerabilidades Internas: Identificar e corrigir vulnerabilidades de segurança internas, como configurações incorretas de produtos e portas abertas.

Gestão de Vazamento de Dados: Monitorar e mitigar vazamentos de dados, tanto internos quanto de terceiros, que possam acelerar o caminho do ataque cibernético.

Gestão de Riscos de Fornecedores: Avaliar e monitorar a postura de segurança de fornecedores terceirizados para prevenir violações por terceiros.

Estágio 2: Prevenção de Acesso a Dados Sensíveis:

Mesmo que a rede seja comprometida, é importante impedir o acesso a dados sensíveis através de medidas como:

Autenticação Multifator (MFA): Introduzir etapas adicionais de confirmação de identidade para acessar recursos sensíveis.

Gestão de Contas Privilegiadas (PAM): Monitorar e proteger usuários com acesso a recursos críticos.

Arquitetura de Confiança Zero (ZTA): Assumir que toda atividade na rede é uma ameaça potencial e autenticar continuamente os usuários.

Segmentação de Rede: Separar regiões sensíveis da rede para dificultar a movimentação lateral dos atacantes.

Criptografia de Dados: Aplicar criptografia aos dados, tanto em repouso quanto em movimento, para torná-los inúteis em caso de acesso não autorizado.

A LGPD exige que os controladores e operadores de dados implementem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais. A adoção de boas práticas de segurança cibernética, como treinamentos de conscientização, gestão de vulnerabilidades e monitoramento de riscos de fornecedores, está alinhada com os princípios da lei. A lei enfatiza a necessidade de controlar e monitorar o acesso a dados pessoais. Medidas como autenticação multifator, gestão de contas privilegiadas, arquitetura de confiança zero e criptografia de dados são cruciais para garantir que apenas indivíduos autorizados tenham acesso aos dados pessoais, conforme estipulado nos artigos 46 e 50 da LGPD.

Notificação de Violações:

Como dito acima, mas bom relembrar, a LGPD estipula que, em caso de violação de dados pessoais, a autoridade nacional e os titulares dos dados devem ser notificados em um prazo razoável. Essa notificação deve incluir uma descrição do incidente, os dados afetados, as medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A conformidade com a LGPD é fundamental para a proteção de dados pessoais no Brasil. As estratégias de prevenção de violações de dados discutidas são diretamente aplicáveis aos requisitos da LGPD, ajudando as empresas a protegerem os dados pessoais de maneira eficaz e a evitar sanções. A implementação dessas medidas não apenas promove a conformidade com a legislação, mas também fortalece a confiança dos titulares dos dados nas práticas de segurança da empresa.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante