Incidente de Ransomware e Obrigações sob a LGPD
Ataques de ransomware geram obrigações legais imediatas para empresas sob a LGPD, incluindo comunicação à ANPD e aos titulares de dados pessoais afetados.
O Cenário Atual dos Ataques de Ransomware no Brasil
Nos últimos anos, observamos um crescimento expressivo dos ataques de ransomware direcionados a organizações brasileiras de todos os portes. Esse tipo de incidente cibernético consiste na invasão de sistemas computacionais, seguida da criptografia de dados e da exigência de resgate financeiro (geralmente em criptomoedas) para a devolução do acesso às informações. O problema deixou de ser exclusivamente técnico e passou a ocupar posição central nas discussões jurídicas sobre proteção de dados pessoais.
Quando analisamos um ataque de ransomware sob a ótica da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), percebemos que o incidente frequentemente configura uma violação de dados pessoais. Isso ocorre porque os sistemas comprometidos costumam conter informações de clientes, colaboradores, fornecedores e parceiros comerciais. A indisponibilidade desses dados, ainda que temporária, já pode ser considerada um incidente de segurança nos termos da legislação. Se houver exfiltração (cópia dos dados pelos atacantes antes da criptografia, prática cada vez mais comum), a gravidade se eleva consideravelmente.
Verificamos que muitas organizações ainda tratam o ransomware como um problema exclusivo da área de tecnologia da informação, negligenciando as repercussões jurídicas e regulatórias. Essa postura pode resultar em sanções administrativas, ações judiciais por parte dos titulares afetados e danos reputacionais significativos. A preparação prévia e a resposta estruturada ao incidente são, portanto, imperativos legais e não meras recomendações de boas práticas.
Obrigações Legais Imediatas após o Incidente
A LGPD estabelece, em seu artigo 48, que o controlador de dados deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Essa comunicação deve ser feita em prazo razoável, conforme regulamentação da ANPD. A Resolução CD/ANPD nº 15/2024 detalhou esse procedimento, estabelecendo o prazo de 3 dias úteis para a comunicação à Autoridade, contados a partir do conhecimento do incidente pelo controlador.
Ao nos depararmos com um ataque de ransomware, a primeira providência jurídica é avaliar se o incidente envolve dados pessoais e se há potencial risco ou dano relevante aos titulares. Consideramos como fatores agravantes: o volume de dados comprometidos, a natureza das informações (dados sensíveis como saúde, biometria ou dados financeiros elevam o risco), a possibilidade de identificação dos titulares, a extensão geográfica do incidente e as consequências concretas para os indivíduos afetados.
A comunicação à ANPD deve conter, no mínimo: a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente, os motivos da demora (caso a comunicação não tenha sido imediata) e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo. Documentar cada etapa da resposta ao incidente é fundamental para demonstrar conformidade e boa-fé perante o regulador.
Comunicação aos Titulares de Dados
A notificação aos titulares afetados é uma obrigação que merece atenção especial. Ela deve ser redigida em linguagem clara e acessível, evitando jargões técnicos que dificultem a compreensão. Precisamos informar quais dados foram potencialmente comprometidos, quais riscos o titular corre em razão do incidente e quais medidas pode adotar para se proteger (como alteração de senhas, monitoramento de movimentações financeiras ou ativação de alertas em bureaus de crédito). A transparência nesse momento, embora possa parecer contraproducente do ponto de vista reputacional, é uma exigência legal e tende a preservar a confiança dos titulares a longo prazo.
Registro e Documentação do Incidente
Independentemente da obrigatoriedade de comunicação à ANPD, todo incidente de segurança envolvendo dados pessoais deve ser registrado internamente. Esse registro compõe o relatório de impacto à proteção de dados pessoais (RIPD) e serve como evidência de que a organização adota medidas de governança compatíveis com a LGPD. Recomendamos manter um registro detalhado contendo a cronologia dos eventos, as decisões tomadas em cada etapa, os profissionais envolvidos na resposta e as lições aprendidas para aprimoramento dos controles de segurança.
A resposta jurídica a um incidente de ransomware não começa quando o ataque acontece, mas sim quando a organização estrutura seu programa de conformidade com a LGPD.
Due Diligence de Dados e Prevenção
O conceito de due diligence de dados ganha relevância especial no contexto de ransomware. Entendemos que essa diligência prévia envolve o mapeamento completo dos dados pessoais tratados pela organização, a avaliação dos riscos associados a cada operação de tratamento e a implementação de medidas técnicas e administrativas proporcionais a esses riscos. A LGPD, em seu artigo 46, determina que os agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Na prática, a due diligence de dados para prevenção de ransomware abrange diversos elementos. Primeiro, o inventário de dados: precisamos saber exatamente quais dados pessoais a organização trata, onde estão armazenados, quem tem acesso a eles e por quanto tempo são retidos. Segundo, a avaliação de vulnerabilidades: é necessário identificar os pontos fracos na infraestrutura tecnológica que podem ser explorados por atacantes. Terceiro, a política de backups: manter cópias de segurança atualizadas, em ambientes segregados e testadas periodicamente é uma das medidas mais eficazes contra ransomware. Quarto, o treinamento de colaboradores: grande parte dos ataques de ransomware se inicia por meio de engenharia social (phishing), o que torna a capacitação dos funcionários uma camada essencial de proteção.
Organizações que realizam due diligence de dados de forma contínua estão em posição significativamente melhor para responder a incidentes. O mapeamento prévio dos dados permite identificar rapidamente o escopo do comprometimento, enquanto os planos de resposta a incidentes previamente elaborados e testados garantem uma atuação coordenada e tempestiva. A ANPD tem sinalizado que a existência de um programa robusto de governança em privacidade pode ser considerada como atenuante na aplicação de sanções administrativas.
Responsabilidade Civil e Sanções Administrativas
A ocorrência de um incidente de ransomware pode gerar responsabilidade civil para o controlador de dados. A LGPD prevê, em seus artigos 42 a 45, que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em razão do tratamento de dados pessoais é obrigado a repará-lo. A jurisprudência brasileira sobre o tema ainda está em construção, mas já observamos decisões judiciais que reconhecem a responsabilidade de organizações por falhas de segurança que resultaram em vazamentos de dados.
No âmbito administrativo, a ANPD pode aplicar sanções que vão desde advertências até multas de até 2% do faturamento da pessoa jurídica de direito privado (limitadas a R$ 50 milhões por infração). Outras sanções incluem a publicização da infração (que pode causar dano reputacional considerável), o bloqueio ou a eliminação dos dados pessoais relacionados à infração e a suspensão parcial ou total do funcionamento do banco de dados. Em casos extremos, a ANPD pode determinar a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Analisamos que a postura da organização após o incidente influencia diretamente na dosimetria das sanções. A comunicação tempestiva, a adoção de medidas corretivas, a cooperação com a ANPD e a demonstração de que existiam controles de segurança razoáveis antes do ataque são fatores que a Autoridade considera ao decidir sobre a aplicação e a graduação das penalidades. Por outro lado, a tentativa de ocultar o incidente, a demora injustificada na comunicação ou a ausência de medidas mínimas de segurança tendem a agravar a situação.
A Questão do Pagamento do Resgate
Um ponto delicado que frequentemente surge na assessoria jurídica a incidentes de ransomware é a decisão sobre o pagamento do resgate exigido pelos atacantes. Embora não exista, até o momento, proibição legal expressa no ordenamento jurídico brasileiro quanto ao pagamento de resgates em ataques cibernéticos, essa decisão envolve considerações jurídicas complexas. O pagamento pode configurar financiamento de atividades criminosas, não garante a recuperação efetiva dos dados e pode incentivar novos ataques à mesma organização. Recomendamos que essa decisão seja tomada com assessoria jurídica especializada, considerando todos os aspectos legais, operacionais e éticos envolvidos.
Plano de Resposta a Incidentes: Estruturação Jurídica
Consideramos essencial que toda organização que trata dados pessoais mantenha um plano de resposta a incidentes de segurança formalmente documentado e periodicamente testado. Esse plano deve integrar aspectos técnicos e jurídicos, definindo com clareza os papéis e responsabilidades de cada equipe envolvida na resposta. Do ponto de vista jurídico, o plano deve contemplar: os critérios para avaliação da gravidade do incidente, os fluxos de comunicação interna e externa (incluindo ANPD e titulares), a preservação de evidências para eventual investigação criminal ou processo judicial, a interação com autoridades policiais e o acionamento de seguros cibernéticos (quando aplicável).
A figura do Encarregado pelo Tratamento de Dados Pessoais (DPO), prevista no artigo 41 da LGPD, desempenha papel central na coordenação da resposta ao incidente. Esse profissional deve atuar como ponto de contato entre a organização, a ANPD e os titulares afetados, garantindo que as comunicações sejam realizadas nos prazos e com o conteúdo exigidos pela legislação. A existência de um DPO devidamente capacitado e com autonomia funcional é um indicativo relevante de maturidade da organização em proteção de dados.
Ressaltamos que o plano de resposta não é um documento estático. Ele deve ser revisado e atualizado periodicamente, incorporando as lições aprendidas com incidentes reais ou simulados, as atualizações regulatórias da ANPD e as mudanças no cenário de ameaças cibernéticas. Organizações que investem na preparação prévia tendem a responder de forma mais eficiente, reduzindo o tempo de contenção do incidente e, consequentemente, o potencial de dano aos titulares de dados.
Perguntas Frequentes
Qual o prazo para comunicar um incidente de ransomware à ANPD?
De acordo com a Resolução CD/ANPD nº 15/2024, o controlador deve comunicar o incidente à ANPD em até 3 dias úteis, contados a partir do momento em que toma conhecimento de que o incidente afetou dados pessoais. Esse prazo reforça a necessidade de ter processos internos de detecção e avaliação de incidentes bem estruturados, pois a contagem se inicia no momento do conhecimento, e a demora na identificação interna não justifica o atraso na comunicação ao regulador.
A empresa pode ser responsabilizada mesmo que tenha medidas de segurança implementadas?
Sim, a existência de medidas de segurança não isenta automaticamente a organização de responsabilidade. A LGPD adota o conceito de medidas de segurança “aptas” e “proporcionais” ao risco, o que significa que a adequação dos controles é avaliada caso a caso. No entanto, a demonstração de que a organização adotava medidas razoáveis e compatíveis com o estado da arte pode atenuar significativamente as sanções administrativas e influenciar na avaliação de responsabilidade civil.
É obrigatório registrar o boletim de ocorrência em caso de ransomware?
Embora a LGPD não imponha expressamente a obrigação de registro de boletim de ocorrência, recomendamos fortemente essa providência. O ransomware configura crime previsto no Código Penal (invasão de dispositivo informático, extorsão, entre outros tipos penais aplicáveis), e o registro policial é importante tanto para a investigação criminal quanto para a documentação do incidente perante a ANPD e em eventuais processos judiciais de responsabilidade civil.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
