Condenação histórica por vazamento de dados

A Justiça de Minas Gerais condenou a Meta (controladora de Facebook, Instagram e WhatsApp) a pagar R$ 40 milhões em danos morais coletivos, além de R$ 10 mil para cada usuário afetado, devido a vazamentos de dados de 2018 e 2019. A decisão determina que a empresa identifique e indenize os usuários expostos sem necessidade de ações individuais. A Meta discorda da decisão e avalia recurso, mas o caso sinaliza maior rigor judicial na proteção de dados pessoais e serve de alerta sobre o risco financeiro de falhas de segurança.

Precedente regulatório da ANPD.

Em ação de fiscalização iniciada em 2023, a Autoridade Nacional de Proteção de Dados (ANPD) concluiu a investigação sobre redes de farmácias (grupo RaiaDrogasil e parceiros) e identificou indícios de uso indevido de dados sensíveis de clientes para criação de perfis de saúde e publicidade dirigida.

Como resultado, a ANPD impôs medidas corretivas imediatas (por exemplo, oferecer alternativa à biometria no programa de fidelidade e transparência sobre o tempo de retenção de dados) e instaurou processo sancionador contra a Raia Drogasil pela possível violação da LGPD. O caso, inédito no setor, reforça que práticas de perfilização de consumidores sem base legal adequada estão na mira dos reguladores.

Tese firmada pelo STF (Tema 987 de Repercussão Geral).

A responsabilização civil das plataformas digitais por conteúdos gerados por terceiros depende da demonstração do descumprimento do dever de cuidado, caracterizado pela inércia da plataforma, uma vez devidamente acionada por ordem judicial específica que determine a remoção do conteúdo apontado como ilícito.

Na prática, o STF reconheceu a constitucionalidade do art. 19, mas deixou claro que sua aplicação não pode ser cega nem automática: nos casos de conteúdo flagrantemente ilícito ou que viole direitos fundamentais, a ausência de remoção imediata, mesmo sem ordem judicial, pode ser interpretada como omissão dolosa e gerar responsabilização. A Corte também reafirmou que a responsabilização administrativa e penal independe da exigência judicial prevista para o campo
civil.

Impacto. Empresas que operam plataformas colaborativas, marketplaces, redes sociais corporativas ou ambientes com UGC (user-generated content) devem revisar imediatamente suas políticas internas de moderação e de resposta a denúncias. A decisão exige não apenas atenção a ordens judiciais, mas também mecanismos internos céleres para lidar com conteúdos de risco evidente, como incitação à violência, discurso de ódio, exposição de dados sensíveis ou ataques discriminatórios. Mais do que nunca, a governança de dados torna-se eixo de responsabilidade para administradores: negligência no cuidado com o ecossistema de dados e conteúdo pode gerar condenações milionárias, inclusive em ações coletivas. A tese do STF também reforça a importância de manter logs de acesso, histórico de remoções e mecanismos de reporte transparentes, inclusive para se proteger diante de litígios ou fiscalizações da ANPD, Procon e Ministério Público.

Marco Legal de IA avança.

A Câmara dos Deputados instalou em maio uma comissão especial para analisar o projeto de lei que regulamenta a Inteligência Artificial no Brasil, já aprovado no Senado. O texto em debate cria o Sistema Nacional de Regulação e Governança de IA (SIA), coordenado pela ANPD, e prevê sanções de até R$ 50 milhões ou 2% do faturamento para violações. Tecnologias de alto risco (como algoritmos de recrutamento, veículos autônomos e biometria de emoções) terão exigências reforçadas, enquanto sistemas de risco excessivo (p.ex. armas autônomas e “score” social pelo governo) serão proibidos. O projeto também aborda direitos autorais (exigindo remuneração por uso de obras em treinamento de IA) e transparência, indicando que empresas deverão adequar processos de IA a novas obrigações de governança e accountability em breve.

Plano Nacional de Cibersegurança e infraestrutura crítica.

O governo federal, via Comitê Nacional de Cibersegurança (CNCiber), criou em maio um grupo de trabalho multissetorial para elaborar o Plano Nacional de Cibersegurança, com duração de até 4 meses. O plano vai definir diretrizes de curto prazo (2025–2027) e médio prazo (2028–2031) alinhadas à Política e Estratégia Nacional de Segurança Cibernética, indicando futuras ações coordenadas de fortalecimento da resiliência digital. Simultaneamente, grupos de trabalho foram instituídos para criar um guia de requisitos mínimos de cibersegurança para provedores de serviços essenciais e infraestruturas críticas, bem como orientações para centros de compartilhamento de informações de segurança (modelos ISAC). Essas iniciativas regulatórias apontam que setores industrial, de energia e serviços deverão atender a padrões mais elevados de proteção de sistemas vitais, com provável impacto em compliance e investimentos em segurança.

IA como dupla face: ameaça e defesa.

Relatório recente da Cisco destaca a disseminação da Inteligência Artificial em ataques cibernéticos. No Brasil, 77% das organizações sofreram incidentes de segurança envolvendo IA nos últimos 12 meses (como uso de malware com algoritmos avançados, deepfakes em fraudes, ou roubo de modelos de IA).

Paradoxalmente, 93% das empresas também adotam IA para detectar ameaças, evidenciando uma corrida tecnológica entre atacantes e defensores. Uma preocupação crescente é o “shadow AI” (funcionários usando ferramentas de IA generativa sem controle). Quase metade das equipes de TI brasileiras não monitoram o uso de plataformas como ChatGPT internamente, e em 24% das empresas os colaboradores têm acesso irrestrito a IAs públicas. Essa falta de governança cria brechas para vazamento de dados confidenciais e decisões automatizadas sem supervisão. A tendência força as empresas a equilibrarem a inovação em IA com políticas de compliance digital, implementando controles sobre quais dados podem ser inseridos em sistemas de IA e investindo em treinamento sobre os riscos (por exemplo, um texto gerado por IA pode conter vieses ou informações falsas, exigindo revisão humana).

As transformações recentes no cenário jurídico e regulatório deixaram clara uma mudança estrutural e silenciosa: a direção de tecnologia passou a ocupar, de forma definitiva, um lugar de responsabilidade fiduciária no centro da estratégia empresarial. Já não se espera que o diretor de TI apenas mantenha a infraestrutura funcional ou entregue soluções operacionais: exige-se, agora, discernimento institucional, leitura jurídica qualificada e protagonismo na proteção dos ativos mais sensíveis de uma organização, os dados e os sistemas que os sustentam.

Essa inflexão não decorre apenas de novos riscos, mas de uma reconfiguração daquilo que se entende por negligência institucional. O recente julgamento do Supremo Tribunal Federal, que analisou o art. 19 do Marco Civil da Internet, representa o marco definitivo dessa virada. A Corte afirmou que, mesmo preservando-se a constitucionalidade do dispositivo, plataformas e empresas que administram ambientes digitais podem ser responsabilizadas por omissão, caso deixem de remover conteúdos manifestamente ilícitos mesmo sem ordem judicial. O silêncio, antes visto como neutralidade técnica, passa a ser juridicamente interpretado como inércia consciente.

Essa responsabilização por omissão se estende a ambientes internos de empresas industriais, sejam eles sistemas de comunicação entre empregados, plataformas de e-commerce B2B, canais de autoatendimento ou sistemas de inteligência artificial embarcada. A empresa responde pelo que deixa circular sob sua custódia digital. E quem lidera essa custódia é, por definição, a diretoria de tecnologia.

Ao mesmo tempo, observamos uma escalada nos riscos que operam à margem do radar. O megavazamento que expôs bilhões de credenciais de usuários de serviços como Apple, Meta e Google, muitos dos quais brasileiros, é apenas um sintoma da fragilidade global. Não se trata mais de “se” ocorrerá um incidente grave, mas “quando” e “como” a empresa responderá. O ambiente digital está contaminado por ameaças silenciosas, automatizadas, adaptativas, muitas vezes difíceis de rastrear, mas devastadoras no impacto.

E não menos grave: a inteligência artificial, antes percebida como vantagem competitiva, pode tornar-se fonte de responsabilidade objetiva, caso venha a gerar discriminação automatizada, perda de controle sobre dados sensíveis ou decisões opacas em processos críticos. Os projetos de regulação em tramitação no Congresso Nacional sinalizam que empresas que operarem algoritmos com impacto sobre direitos fundamentais, inclusive em seleção de pessoal, gestão de produtividade ou oferta de crédito, precisarão implementar estruturas rígidas de governança e rastreabilidade.

Nesse novo cenário, o diretor de TI que atua apenas como gestor técnico deixa a empresa exposta a riscos que ultrapassam a dimensão digital e alcançam a esfera patrimonial, regulatória e reputacional.
Sua atuação deve ser reposicionada como estratégica e institucional. O que se espera é:

• Participação ativa na definição de padrões de conduta tecnológica, integrados à cultura de conformidade da empresa;
• Rastreabilidade documental de decisões e fluxos digitais, capaz de demonstrar diligência em auditorias e investigações;
• Implementação de planos de contingência e resposta a incidentes, já validados juridicamente;
• Restrição e controle sobre ferramentas de inteligência artificial de uso interno, evitando exposições indevidas e vazamentos acidentais;
• Mapeamento e fiscalização constante da cadeia de fornecedores digitais — pois a vulnerabilidade de um terceiro pode se transformar em responsabilidade direta da empresa.

Em síntese, não há mais espaço para uma TI meramente operacional. Empresas que tratarem a TI como eixo de responsabilidade fiduciária sairão na frente na conquista de parceiros, investidores, clientes e órgãos reguladores. As demais, continuarão reagindo, com dificuldade, às consequências de crises que poderiam ter sido antecipadas.
Em tempos de tecnologia ubíqua e riscos invisíveis, liderar a TI é, cada vez mais, liderar o futuro da própria empresa.
> Prof. Dr. Bernardo Grossi.

> Reforce protocolos de resposta a incidentes

Decisões judiciais indicam maior responsabilização direta por falhas de segurança. Tenha relatórios e históricos de tratamento de incidentes prontos para ANPD, Procon e MP, o
que inclui Avaliações de Legítimo Interesse bem documentados, Relatório de Impacto à Proteção de Dados, Logs, registros de acesso, Atas do Comitê de Privacidade e do Comitê de Ética, dentre outros.

> Audite programas de fidelidade e consentimento

Verifique se há coleta indevida de dados sensíveis (e as bases legais atribuídas) ou ausência de alternativas à biometria, como evidenciado no caso RaiaDrogasil.

> Antecipe as obrigações do Marco Legal da IA

Inicie a classificação de algoritmos por grau de risco. Documente decisões automatizadas. Reforce accountability em sistemas de IA antes que a regulação entre em vigor.

> Revisite políticas de moderação de denúncia

Plataformas e marketplaces devem agir proativamente diante de conteúdos flagrantemente ilícitos, mesmo sem ordem judicial.

> Implemente um plano de resposta a ransomware

Priorize backups operacionais, simulações de ataque e testes com equipes críticas. Ransomware hoje é risco real, não estatística.

> Crie diretrizes para o uso de IA generativa

Defina onde IA pode ser usada internamente. Oriente times sobre o que não deve ser enviado a sistemas públicos.

> Atualize a autenticação e gestão de senhas

Use MFA. Mapeie exposições com ferramentas automáticas. Valide se credenciais sensíveis já circulam em bases públicas.

> Engaje a alta liderança com a cultura de segurança

O maior gap está na liderança. Pesquisas mostram que o problema não é técnico, mas tático, e começa pelo exemplo dos gestores.