Nos últimos anos, os ataques cibernéticos deixaram de ser eventos pontuais e se transformaram em operações ultrarrápidas, conduzidas em ritmo industrial. Levantamentos recentes do setor de cibersegurança mostram que invasores levam poucos minutos, às vezes, segundos para se movimentar dentro de uma rede corporativa. Em muitos casos, a extração de dados ocorre quase no mesmo intervalo.
Essa velocidade redefine não apenas o risco tecnológico, mas, sobretudo, a responsabilidade de gestão. O que está em jogo não é somente como o ataque foi executado, mas quando a organização percebeu que algo estava errado e o quanto demorou para agir.
E é exatamente aqui que a obsolescência jurídica se revela.
No caso e incidentes de segurança envolvendo dados pessoais, a legislação brasileira estabelece prazos que, à primeira vista, parecem suficientes, como os 3 dias úteis da resolução CD/ANPD 15/24 para comunicação à Agência Nacional de Proteção de Dados. No entanto, quando o ciclo completo de um ataque se resolve em menos de meia hora, o prazo regulatório perde centralidade. O verdadeiro entrave está dentro da organização: indefinição sobre quem decide, ausência de critérios para escalonamento e incertezas sobre o limiar de "risco ou dano relevante".
Essa lentidão estrutural se torna ainda mais evidente quando a empresa depende de terceiros. A maior parte dos contratos com fornecedores e parceiros continua ancorada em prazos e rituais burocráticos, como se houvesse tempo hábil para deliberação formal. Só que o ataque não espera. E esses instrumentos jurídicos, concebidos para outro ritmo de risco, pressupõem um ciclo decisório que simplesmente não existe mais.
Quando analisamos o ambiente jurídico-contratual, fica evidente que ele ainda opera como se estivéssemos em outra década. Ajustes deixaram de ser recomendáveis e tornaram-se inadiáveis.
1. Cláusulas de segurança não podem ser genéricas.
A exigência contratual de adoção de "medidas adequadas" já não protege de maneira suficiente. O contrato precisa traduzir essa expressão em obrigações verificáveis: MFA obrigatório, gestão de identidades, monitoramento contínuo, prazos máximos para aplicação de patches e logs íntegros e retidos. Quando a maioria dos ataques ocorre por meio de credenciais legítimas, deixar a identidade fora do contrato é deixar a porta aberta.
2. Resposta a incidentes é obrigação jurídica e não anexo técnico.
O contrato deve prever um plano documentado, prazos internos menores que os regulatórios, preservação de evidências, cadeia de custódia, governança de logs e cooperação plena em investigações. A resposta é jurídica porque envolve responsabilidade, dever de diligência e impactos concretos para titulares, parceiros e investidores.
3. Uso de inteligência artificial precisa estar no contrato.
IA já participa dos fluxos de trabalho, com ou sem previsão. Por isso, as partes precisam saber quando ferramentas são utilizadas, qual a política de retenção aplicada e sob qual regime de responsabilidade os dados circulam. Ignorar isso cria zonas opacas de risco, que geralmente emergem nos piores momentos.
Quando uma empresa leva horas para identificar um incidente que levou minutos para comprometer dados sensíveis, o problema não é tecnológico. É falta de preparo e de uma arquitetura jurídica compatível com a velocidade do risco. Organizações que mantêm planos de resposta como documentos de gaveta, operam com cláusulas vagas e negligenciam governança de identidade e de IA não apenas assumem riscos, elas formalizam, nos próprios contratos, a impossibilidade de reagir a tempo.
No cenário atual, improviso não é resposta. Improviso é risco jurídico, o qual surge na mesma velocidade que o ataque que o desencadeia.