O novo vazamento de dados divulgado pela Gol, desta vez envolvendo um sistema terceirizado utilizado pela Smiles, volta a expor a fragilidade das empresas diante do avanço dos ataques cibernéticos.
Embora o incidente tenha afetado menos de 0,04% da base de clientes, segundo a companhia, informações pessoais sensíveis, como dados de identificação e cópias de documentos, podem ter sido acessadas.
O episódio ocorre no mesmo momento em que uma pesquisa setorial revela um cenário preocupante: quase metade das empresas brasileiras ainda não considera segurança da informação uma prioridade estratégica.
Pesquisa da Setorial 2025 do MiTi (Markets, Innovation & Technology Institute) aponta que, apesar de maior maturidade sobre o tratamento de dados, as empresas ainda não encaram segurança como prioridade estratégica.
Quase 52% das organizações não tratam o tema como prioridade; 34,78% não possuem diretor de segurança da informação; e 39,13% planejam dedicar menos de 5% do orçamento de TI para segurança no próximo ano.
Evitar o vazamento de dados continua sendo o principal desafio em um ambiente de digitalização permanente, afirma Rafael Federici, sócio do Comparato, Nunes, Federici & Pimentel Advogados, especialista em Direito Digital e Proteção de Dados.
"E o vazamento de dados pode ter consequências graves tanto para a privacidade e segurança das pessoas, bem como para a existência e reputação das empresas e entidades que atuam no segmento", alerta o especialista.
Segundo ele, outros temas também seguem entre os principais desafios das empresas, como mostra a pesquisa.
"A terceirização da cadeia de suprimentos e serviços, com compartilhamento de dados pessoais, o que adiciona camadas de complexidade à proteção de dados, exigindo a adoção de padrões rigorosos de todos os envolvidos e o treinamento contínuo dos recursos humanos e a formação de uma cultura em governança e proteção de dados pessoais, abrangendo tanto os colaboradores internos como os parceiros externos, fornecedores e terceirizados, também estão na lista dos desafios", ressalta o sócio.
Rafael Federici explica ainda a relação direta entre a digitalização dos serviços e o aumento das fraudes e ataques cibernéticos. De acordo ele, quanto maior o volume de dados pessoais digitalizados no ambiente das organizações, maior a exposição a ataques, especialmente porque os chamados dados "sensíveis", conforme a LGPD, têm alto valor no mercado ilegal.
Mas grande parte da exposição das empresas pode ser minimizada com atenção e investimentos constantes em tecnologia, segurança da informação e cultura organizacional voltada à proteção de dados, explica o advogado. Entretanto, conforme levantamento da Setorial 2025 do MiTi, apenas 34,78% delas preveem aumento da ordem de 1% a 5%.
"No campo tecnológico, um problema comum envolve a utilização de sistemas de TI antigos, que são mais difíceis de proteger e de integrar com novas tecnologias mais seguras. O uso de sistemas legados e fragmentados acaba sendo um cenário fértil para invasões e vazamentos. Da mesma forma, sistemas operacionais e softwares de tratamento desatualizados ou sem arquitetura adequada também colaboram para o aumento dos riscos".
Por isso, o advogado recomenda a manutenção de práticas rigorosas e investimentos permanentes em infraestrutura de TI. O uso de criptografia de dados, controles de acesso, sistemas de detecção de intrusão, auditorias de segurança e backups regulares e seguros pode fazer a diferença.
"No campo da governança, o treinamento e reciclagem contínua dos colaboradores, o estabelecimento de regras, políticas e práticas internas e externas rigorosas sobre proteção de dados (privacy by default), bem como a criação de produtos e serviços com atenção à proteção de dados desde as etapas iniciais de seu desenvolvimento (privacy by design), continuam a ser consideradas práticas que trazem grandes benefícios para proteção e segurança dos dados pessoais", destaca Rafael Federici.
Use a LGPD a seu favor
A LGPD elevou o nível de responsabilidade das empresas em relação à segurança da informação, avalia Rafael Federici.
"Ela torna obrigatória a proteção e segurança dos dados, a necessidade de base legal para tratamento, a garantia de direitos dos titulares de dados, a responsabilização e penalização de condutas ilegais ou inconformes, o incentivo a boas práticas e a obrigatoriedade da notificação de incidentes", afirma o especialista.
Apesar dos avanços legais e tecnológicos, a falta de conscientização ainda é um obstáculo. Muitas pessoas não compreendem os riscos do compartilhamento de informações, ressalta o especialista. Por isso, ações voltadas diretamente aos consumidores também podem ajudar nesse cenário.
"Como disponibilização de informações claras, acessíveis e simplificadas, tanto nas políticas, termos de uso, como nos alertas e dicas de segurança, e, ainda, nos canais de atendimento; além de educação sobre o tema nas escolas, universidades e cursos", diz Federici.
Por outro lado, existem vulnerabilidades contínuas, alerta o especialista. "Pois tanto os sistemas de TI como as fraudes evoluem continuamente, além de desigualdade digital no acesso a tecnologias e falta de confiança da população em matéria de digitalização de dados (o que afeta a adesão às inovações). Ou seja, as oportunidades são imensas e transformadoras, mas dependem intrinsecamente da capacidade de mitigar os riscos de segurança e privacidade", conclui.