Especialista vê vazamento da Gol como novo alerta sobre riscos estruturais na proteção de dados

Vazamento ocorrido este mês envolveu sistema terceirizado da Smiles e mostra índices críticos de baixa priorização de segurança da informação nas empresas. Especialista alerta que organizações seguem vulneráveis e subestimam riscos que já viraram rotina

O novo vazamento de dados divulgado pela Gol, desta vez envolvendo um sistema terceirizado utilizado pela Smiles, volta a expor a fragilidade das empresas diante do avanço dos ataques cibernéticos. Embora o incidente tenha afetado menos de 0,04% da base de clientes, segundo a companhia, informações pessoais sensíveis, como dados de identificação e cópias de documentos, podem ter sido acessadas. O episódio ocorre no mesmo momento em que uma pesquisa setorial revela um cenário preocupante: quase metade das empresas brasileiras ainda não considera segurança da informação uma prioridade estratégica.

Pesquisa da Setorial 2025 do MiTi (Markets, Innovation & Technology Institute) aponta que, apesar de maior maturidade sobre o tratamento de dados, as empresas ainda não encaram segurança como prioridade estratégica. Quase 52% das organizações não tratam o tema como prioridade; 34,78% não possuem diretor de segurança da informação; e 39,13% planejam dedicar menos de 5% do orçamento de TI para segurança no próximo ano.

Evitar o vazamento de dados continua sendo o principal desafio em um ambiente de digitalização permanente, afirma o advogado Rafael Federici, sócio do Comparato, Nunes, Federici & Pimentel Advogados, especialista em Direito Digital e Proteção de Dados.

“E o vazamento de dados pode ter consequências graves tanto para a privacidade e segurança das pessoas, bem como para a existência e reputação das empresas e entidades que atuam no segmento”, alerta o especialista.

Segundo ele, outros temas também seguem entre os principais desafios das empresas, como mostra a pesquisa. “A terceirização da cadeia de suprimentos e serviços, com compartilhamento de dados pessoais, o que adiciona camadas de complexidade à proteção de dados, exigindo a adoção de padrões rigorosos de todos os envolvidos e o treinamento contínuo dos recursos humanos e a formação de uma cultura em governança e proteção de dados pessoais, abrangendo tanto os colaboradores internos como os parceiros externos, fornecedores e terceirizados, também estão na lista dos desafios”, ressalta Rafael Federici.

O advogado explica ainda a relação direta entre a digitalização dos serviços e o aumento das fraudes e ataques cibernéticos. De acordo com Rafael Federici, quanto maior o volume de dados pessoais digitalizados no ambiente das organizações, maior a exposição a ataques, especialmente porque os chamados dados “sensíveis”, conforme a Lei Geral de Proteção de Dados (LGPD), têm alto valor no mercado ilegal.

Mas grande parte da exposição das empresas pode ser minimizada com atenção e investimentos constantes em tecnologia, segurança da informação e cultura organizacional voltada à proteção de dados, explica Rafael Federici. Mas, conforme levantamento da Setorial 2025 do MiTi, apenas 34,78% delas preveem aumento da ordem de 1% a 5%.

“No campo tecnológico, um problema comum envolve a utilização de sistemas de TI antigos, que são mais difíceis de proteger e de integrar com novas tecnologias mais seguras. O uso de sistemas legados e fragmentados acaba sendo um cenário fértil para invasões e vazamentos. Da mesma forma, sistemas operacionais e softwares de tratamento desatualizados ou sem arquitetura adequada também colaboram para o aumento dos riscos”.

Por isso, o advogado recomenda a manutenção de práticas rigorosas e investimentos permanentes em infraestrutura de TI. O uso de criptografia de dados, controles de acesso, sistemas de detecção de intrusão, auditorias de segurança e backups regulares e seguros pode fazer a diferença.

“No campo da governança, o treinamento e reciclagem contínua dos colaboradores, o estabelecimento de regras, políticas e práticas internas e externas rigorosas sobre proteção de dados (privacy by default), bem como a criação de produtos e serviços com atenção à proteção de dados desde as etapas iniciais de seu desenvolvimento (privacy by design), continuam a ser consideradas práticas que trazem grandes benefícios para proteção e segurança dos dados pessoais”, destaca Rafael Federici.

Use a LGPD a seu favor

A LGPD elevou o nível de responsabilidade das empresas em relação à segurança da informação, avalia Rafael Federici.

“Ela torna obrigatória a proteção e segurança dos dados, a necessidade de base legal para tratamento, a garantia de direitos dos titulares de dados, a responsabilização e penalização de condutas ilegais ou inconformes, o incentivo a boas práticas e a obrigatoriedade da notificação de incidentes”, afirma o especialista.

Apesar dos avanços legais e tecnológicos, a falta de conscientização ainda é um obstáculo. Muitas pessoas não compreendem os riscos do compartilhamento de informações, ressalta o especialista. Por isso, ações voltadas diretamente aos consumidores também podem ajudar nesse cenário.

“como disponibilização de informações claras, acessíveis e simplificadas, tanto nas políticas, termos de uso, como nos alertas e dicas de segurança, e, ainda, nos canais de atendimento; além de educação sobre o tema nas escolas, universidades e cursos”, diz Federici.

Por outro lado, existem vulnerabilidades contínuas, alerta o especialista. “Pois tanto os sistemas de TI como as fraudes evoluem continuamente, além de desigualdade digital no acesso a tecnologias e falta de confiança da população em matéria de digitalização de dados (o que afeta a adesão às inovações). Ou seja, as oportunidades são imensas e transformadoras, mas dependem intrinsecamente da capacidade de mitigar os riscos de segurança e privacidade”.