Ransomware e vazamento de dados

Categoria: LGPD

Ransomware e vazamento de dados: deveres legais de prevenção e resposta (LGPD/RCIS), responsabilidade civil e lições da jurisprudência do STJ na prova do dano moral.

Introdução

Ransomware e vazamentos de dados são hoje os eventos mais disruptivos para negócios e para a proteção de direitos fundamentais. No plano jurídico brasileiro, o dever de segurança (art. 46 LGPD) e a responsabilização (art. 42) desenham um padrão de diligência para agentes de tratamento. Quando um incidente atinge dados pessoais — sobretudo sensíveis, financeiros, de menores ou de autenticação — o RCIS (Res. CD/ANPD nº 15/2024) define procedimentos, prazos e conteúdo mínimo de comunicação à ANPD e aos titulares, além de exigir registro do incidente por 5 anos. Em paralelo, boas práticas (NIST CSF 2.0 e ISO/IEC 27001) orientam prevenção, detecção e recuperação.

No contencioso, a prova do dano moral em vazamentos tem avançado: a 2ª Seção do STJ reconheceu dano moral in re ipsa em hipóteses qualificadas — p. ex., vazamento de dados sensíveis mantidos por seguradora, dada a gravidade e a vulnerabilidade dos titulares. Por outro lado, não se infere que todo incidente gere, automaticamente, dano moral presumido; o quadro fático (sensibilidade, extensão, consequências) orienta o juízo. A calibragem probatória e a gestão de evidências técnicas tornam-se decisivas.

1) Dever de segurança (arts. 46 a 49 LGPD) e padrão de diligência

O art. 46 exige medidas técnicas e administrativas para prevenir acessos não autorizados e situações de destruição, perda, alteração ou comunicação indevida. O art. 47 estende o dever de segurança mesmo após o término do tratamento, e o art. 49 projeta boas práticas. Na prática, esse padrão inclui:

  • Gestão de vulnerabilidades (inventário, patching, hardening);

  • Segmentação de rede e arquitetura zero trust;

  • MFA e gestão de credenciais;

  • Proteção de endpoints e EDR;

  • Backups imutáveis e testes de restauração;

  • Criptografia (repouso/trânsito);

  • Monitoramento de logs e deteção de anomalias;

  • Treinamento anti-phishing;

  • Planos de continuidade.

A ISO/IEC 27001:2022 oferece o framework de requisitos para que esses controles operem de forma sistêmica e auditável, enquanto o NIST CSF 2.0 estrutura a gestão de risco cibernético com a função Respond/Recover voltada a incidentes, e Govern para papéis, métricas e políticas.

2) RCIS — quando e como comunicar incidentes

A Resolução CD/ANPD nº 15/2024 estabelece o Regulamento de Comunicação de Incidente de Segurança (RCIS): sempre que um incidente possa acarretar risco ou dano relevante, o controlador deve comunicar à ANPD e aos titulares, observando prazos e conteúdo mínimo definidos, e manter registros por 5 anos. A avaliação considera natureza e volume de dados, sensibilidade, vulnerabilidade dos titulares (ex.: menores), abrangência (larga escala), probabilidade e severidade de impacto. O RCIS sincroniza o Direito com a prática de Resposta a Incidentes, exigindo governança, documentação e prestação de contas.

3) Roteiro jurídico-técnico de resposta a ransomware (playbook integrado)

(a) Preparação — Antes do incidente, estabeleça políticas, papéis, runbooks, contatos (ANPD, DPAs setoriais, polícia especializada), retentores (forense, PR, jurídico), Matriz de Materialidade (gatilhos RCIS), backups imutáveis e testes. Capacite o time (simulados tabletop).

(b) Identificação — Detectar o incidente (EDR/SIEM), classificar tipo de ransomware, vetores (phishing, RDP, credenciais comprometidas), escopo de dados pessoais envolvidos. Preserve evidências (imagens, logs, chaves) em cadeia de custódia, para forense e eventual prova em juízo.

(c) Contenção — Isolar segmentos, contas e serviços, rotacionar segredos, bloquear C2, notificar terceirizados (SLA contratual), iniciar comunicação controlada com stakeholders sob orientação jurídica.

(d) Erradicação — Remoção do payload, correção de vulnerabilidades, alteração de credenciais, restauração de configurações seguras. Avaliar exfiltração: houve vazamento de dados? Quais categorias (sensíveis, financeiros, autenticação, menores)?

(e) Recuperação — Restauração a partir de backups testados; validações de integridade; monitoramento de reincidência. Acionamento do RCIS se critérios de risco/dano relevante forem atendidos. Comunicação clara e útil aos titulares, com medidas de mitigação (troca de senhas, alerta de fraude, credit monitoring quando aplicável).

(f) Post-mortem — Revisão de lições aprendidas, atualização de políticas e controles, RIPD pós-incidente, e ajustes contratuais com operadores e fornecedores.

4) Responsabilidade civil e prova do dano

A LGPD, no art. 42, prevê responsabilidade do controlador ou operador por danos decorrentes de violação de segurança quando deixar de adotar as medidas do art. 46. Em juízo, a discussão recai sobre: (i) nexo causal; (ii) diligência; (iii) gravidade do vazamento e impactos. A prova técnica (forense digital, telemetria, logs, timeline) e a documentação de governança (ISMS, auditorias, relatórios de risco) são fundamentais para:

  • Demonstrar diligência (mitigação e conformidade),

  • Dimensionar danos (inclusive moral),

  • Definir alcance da reparação e eventual regresso contra terceiros.

Na jurisprudência, a 2ª Seção do STJ reconheceu dano moral in re ipsa em vazamento de dados sensíveis por seguradora, dada a gravidade inerente e o risco à dignidade e à autodeterminação informativa — REsp 2.121.904/SP (Informativo 842, 08/08/2025). Esse leading case sinaliza que qualidade e contexto dos dados vazados importam tanto quanto a ocorrência do vazamento em si, influenciando a presunção de dano moral.

Essa diretriz não converte todo e qualquer incidente em dano presumido: a avaliação judicial tende a considerar sensibilidade, extensão, exposição indevida e consequências (fraude, estigma, discriminação), entre outros fatores. Daí a importância de gestão probatória robusta (cadeia de custódia, relatórios técnicos, root cause analysis) e de comunicação transparente com titulares (exigida pelo RCIS).

5) Estratégias de mitigação de responsabilidade

  1. ISMS e AIMS implementados (ISO/IEC 27001 + ISO/IEC 42001), com riscos de IA (alucinação, prompt injection, extração de dados) mapeados e tratados.

  2. Conformidade documental: políticas, RIPD, registros de atividades, contratos com operadores (cláusulas de segurança, SLA de incidentes, testes, right to audit).

  3. Simulações e testes: tabletop, purple team, restauração de backups, testes de disaster recovery.

  4. Planos de comunicação conforme RCIS (conteúdo, prazos, meios), com foco em mitigação de danos aos titulares.

  5. Engajamento regulatório: monitorar ANPD (guias, FAQs, sanções), e dialogar pró-ativamente quando necessário.

 

 

6) Estudos de caso didáticos (hipotéticos)

  • Ransomware com exfiltração de dados de saúde: clínica tem ambiente on-prem sem EDR, sem segmentação, com backups online cifrados pelo atacante. Com a descoberta de exfiltração de laudos e prontuários (dados sensíveis), aplica-se o RCIS (comunicação à ANPD e titulares) e ativam-se medidas como troca de credenciais, notificação médica e suporte aos pacientes. O risco de dano moral presumido (à luz do STJ) é alto; a falta de diligência (ausência de EDR/segmentação/backups imutáveis) pesa na responsabilidade.

  • Vazamento de base de marketing com e-mails e preferências**:** empresa SaaS identifica acesso não autorizado por API. Sem dados sensíveis, impacto limitado, rápida contenção e transparência com usuários. Análise de risco/dano indica comunicação RCIS não obrigatória; documenta-se o incidente para registro (5 anos) e melhoria de controles de API (rate limiting, MFA, rotação de chaves).

7) Conclusão

O enfrentamento de ransomware e vazamentos é jurídico-técnico: exige governança robusta (LGPD, RCIS, MCI), controles de segurança alinhados a NIST/ISO, processos probatórios consistentes e comunicação responsável com titulares e ANPD. A jurisprudência do STJ eleva o patamar de diligência quando há dados sensíveis, aproximando o Brasil das melhores práticas internacionais e chamando as organizações à maturidade de segurança e accountability.

Por Juan Mendes — estudante de SI, pesquisando privacidade, IA e segurança da informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *