A falta de uma abordagem coordenada e a postura reativa do Brasil em relação à segurança digital foram temas centrais do Seminário LGPD, Cibersegurança e Governança de IA, promovido pela FecomercioSP, com apoio da ABES (Associação Brasileira das Empresas de Software) e do INCC (Instituto Nacional de Combate ao Cibercrime). O evento reuniu especialistas, autoridades e representantes do setor privado para debater os desafios da proteção de dados e da inteligência artificial no país.
Postura reativa e falta de alinhamento regulatório
Durante o painel “Cibersegurança e o Custo da Inação”, Marcelo Malagutti, assessor especial do ministro do GSI, criticou a falta de uma estratégia proativa por parte do governo. Segundo ele, o Brasil adota uma abordagem fragmentada, em que as ações são tomadas apenas após crises.
“Nós temos uma preocupação meio errática no governo brasileiro, e não quero falar só do Executivo, mas de todas as esferas. O Judiciário, o Legislativo e o Executivo têm esse problema. A gente é muito errático e a gente é meio que reativo”, afirmou Malagutti.
Ele citou como exemplo a Lei Carolina Dieckmann, sancionada em 2012, que criminaliza a invasão de dispositivos eletrônicos para obtenção de informações privadas. O projeto ficou parado por três anos até ser aprovado rapidamente após um caso de grande repercussão. “Um projeto que estava engavetado por três anos, que não era prioridade, ganhou visibilidade porque precisava resolver o assunto. Aí o Congresso correu e aprovou. E temos alguma coisa.”
A legislação abriu caminho para outras iniciativas, como o Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD). No entanto, Malagutti destaca que o resultado foi um conjunto de normas que não estão harmonizadas. “De repente, a gente tem uma série de coisas que não estão harmônicas e não se fecham adequadamente.”
Regulamentação setorizada dificulta avanços
A ausência de uma regulação unificada resultou em um cenário fragmentado, no qual diferentes setores adotam normas próprias para segurança digital. Como não há uma agência reguladora com competência exclusiva sobre cibersegurança, entidades como Banco Central, Anatel e Aneel criaram suas próprias diretrizes para proteger seus respectivos mercados.
Mesmo entre os setores mais avançados, como o financeiro e o de telecomunicações, há lacunas. “Similarmente, a gente tem a situação da área de telecom. É uma área muito bem regulada, a Anatel faz um trabalho primoroso. Mas também tem buracos.”
A falta de padronização impede a criação de diretrizes comuns. “O Banco Central não pode fazer um regramento para proteger o setor financeiro que atravessa para cima da área da Anatel, e vice-versa”, explicou Malagutti.
Para solucionar esse problema, o GSI estuda a criação de uma instituição capaz de coordenar e regular diferentes setores no campo da cibersegurança. A expectativa é que um projeto com essa finalidade seja entregue ao Congresso ainda no segundo trimestre deste ano. “A minha perspectiva é a gente entregar no primeiro semestre, para que seja aprovado no terceiro trimestre do ano em pelo menos uma das casas [do Legislativo].”
Proteção de dados e segurança digital
A proteção de dados também foi um dos pontos centrais da discussão. Segundo Iagê Miola, membro do Conselho Diretor da ANPD (Autoridade Nacional de Proteção de Dados), a segurança da informação é um requisito essencial para garantir a privacidade dos cidadãos.
“Não é possível se imaginar a garantia do direito fundamental à proteção de dados pessoais sem a segurança da informação. Isso é absolutamente inviável”, afirmou Miola.
Ele destacou que a LGPD estabelece a segurança como um de seus princípios fundamentais, determinando que qualquer tratamento de dados deve considerar a proteção das informações, desde a coleta até o armazenamento.
Outro desafio apontado no painel foi o aumento dos incidentes de segurança digital no Brasil. De acordo com Miola, o número de notificações ainda é baixo, o que pode indicar uma subnotificação significativa. “Nos dois últimos anos, a gente teve algo como 650 comunicados de incidente de segurança à ANPD. É muito ou é pouco? Acho que, olhando comparativamente, a gente pode entender que é pouco, porque há uma sensação de subnotificação.”
Esse número tende a crescer à medida que a cultura de proteção de dados se fortalece no país. Em comparação, a autoridade de proteção de dados da França recebeu mais de 4 mil notificações de incidentes apenas em 2023, enquanto o órgão britânico registrou mais de 3 mil em um único trimestre do ano passado.
Com o avanço da regulamentação e a consolidação da ANPD, espera-se que mais organizações passem a reportar falhas de segurança, contribuindo para um ambiente digital mais seguro no Brasil.
Texto adaptado de Mobile Time e revisado pela nossa redação.
