Ataque cibernético expõe a importância da segurança da informação e da LGPD
Um recente ataque cibernético colocou novamente em evidência um dos maiores desafios enfrentados por organizações públicas e privadas: a proteção dos dados pessoais.
A Agência Nacional de Proteção de Dados (ANPD) instaurou um processo administrativo para apurar um incidente de segurança envolvendo uma organização da área da saúde, após a divulgação de informações de que cerca de 500 mil pacientes poderiam ter sido afetados. A instituição informou que foi vítima de um ataque do tipo ransomware e sustenta que não houve comprovação de vazamento de dados pessoais. A investigação da ANPD busca justamente verificar se as medidas de segurança adotadas eram adequadas e se houve cumprimento das obrigações previstas na Lei Geral de Proteção de Dados (LGPD).
Independentemente do resultado da apuração, o episódio demonstra que a conformidade com a LGPD vai muito além da elaboração de documentos ou políticas internas. É indispensável que organizações implementem medidas técnicas e administrativas capazes de prevenir, detectar e responder rapidamente a incidentes de segurança.
Entre as boas práticas recomendadas estão a realização de backups seguros e testados, a adoção de autenticação multifator, o controle rigoroso de acessos, o monitoramento contínuo dos sistemas, a manutenção de registros (logs), a capacitação periódica dos colaboradores e a existência de um plano estruturado de resposta a incidentes.
Outro ponto relevante é que, diante de um incidente de segurança, não basta afirmar que não houve vazamento de dados. É necessário produzir evidências técnicas que demonstrem essa conclusão, permitindo que a organização comprove sua diligência perante a ANPD e demais órgãos de controle.
A proteção de dados deixou de ser apenas uma obrigação legal para se tornar um elemento essencial da governança, da continuidade dos serviços e da confiança dos cidadãos, clientes e parceiros. Investir em segurança da informação é investir na sustentabilidade e na credibilidade da organização.
Felipe Thadeu de Castro Piló
Advogado | Professor | Consultor em LGPD e Compliance