Por Adriana Sforcini Lavrik Esper*

Foi recentemente divulgado o chamado maior vazamento de dados da história, que expôs cerca de 16 bilhões de senhas e credenciais de login de contas da Google, Meta, Apple, Telegram, GitHub e até de serviços governamentais.

Segundo a análise técnica da Cybernews (que divulgou o vazamento), os dados foram obtidos por meio de infostealers — softwares maliciosos instalados nos dispositivos das vítimas. O Brasil, provavelmente, é um dos países mais atingidos pelo vazamento, o que acende um alerta no que se refere à responsabilidade legal das empresas envolvidas e à proteção dos titulares de dados.

O impacto da Lei Geral de Proteção de Dados Pessoais (LGPD)

À luz da Lei Geral de Proteção de Dados Pessoais (LGPD), o caso levanta importantes questões jurídicas. Primeiramente, o incidente configura possível violação ao dever de segurança previsto nos arts. 6º, inciso VII, e 46 da LGPD, que exigem a adoção de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e situações ilícitas. A depender da apuração dos fatos, as empresas responsáveis — ou que tenham contribuído com falhas em suas arquiteturas de segurança — poderão ser responsabilizadas pelos danos causados aos titulares, conforme dispõe o art. 42 da LGPD.

Adicionalmente, a LGPD impõe, no art. 48, o dever de comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante. A ausência ou demora nessa comunicação pode agravar a responsabilização administrativa, que inclui desde advertência até multa de 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração (art. 52).

Importante destacar que a segurança dos dados pessoais é uma das grandes preocupações da LGPD. A palavra segurança é citada pelo menos 25 vezes no texto da Lei.

Regulamentações internacionais e suas sanções

Sob a ótica internacional, regulamentações como o GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia) impõem sanções ainda mais rigorosas, como multas de até 4% do faturamento global, além de medidas corretivas urgentes. Destacamos que boa parte das multas já aplicadas no continente europeu são relacionadas à falta de observância de quesitos de segurança.

Do ponto de vista jurídico e regulatório, o caso reforça a necessidade urgente de integração entre as políticas de segurança da informação, governança de dados e resposta a incidentes. Ferramentas como autenticação multifator e testes periódicos de vulnerabilidade são medidas preventivas fundamentais. Também é essencial adotar uma postura ativa de prestação de contas (accountability), com auditorias independentes, registros atualizados de tratamento de dados e canais de atendimento eficazes para os titulares.

A abordagem do NIST sobre a segurança

O National Institute of Standards and Technology – NIST, conhecido pelas recomendações e frameworks de segurança, destaca: a segurança é um requisito fundamental; (todos na organização têm um papel a desempenhar na segurança; a segurança requer melhoria contínua e adaptação; os riscos de segurança devem ser gerenciados de forma proativa. Resumindo, a segurança é problema de todos dentro de uma empresa. O preço da segurança é a eterna vigilância. Não existe uma organização que esteja 100% segura contra-ataques cibernéticos, mas podemos, inclusive com base nas recomendações dos normativos, dificultar o trabalho dos hackers.

Em conclusão, o episódio representa não apenas um alerta global sobre a fragilidade da segurança digital, mas também um divisor de águas em termos de enforcement regulatório. A proteção de dados pessoais deixou de ser uma questão apenas técnica — é, sobretudo, uma exigência jurídica e ética inadiável.

*Adriana Sforcini Lavrik Esper é sócia do escritório SiqueiraCastro.

Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube