A cibersegurança deixou de ser preocupação exclusivamente técnica para se tornar obrigação jurídica das organizações. Múltiplas normas brasileiras impõem deveres de proteção de sistemas e dados, e o descumprimento pode gerar responsabilidade civil, administrativa e, em certos casos, criminal.
Arcabouço Normativo
O dever de segurança cibernética decorre de diversas fontes normativas: a LGPD (art. 46) exige medidas de segurança, técnicas e administrativas, aptas a proteger dados pessoais; o Marco Civil da Internet impõe ao provedor a guarda segura de registros; normas setoriais do Banco Central (para instituições financeiras), da ANATEL (para telecomunicações), da ANS (para operadoras de saúde) e de outros reguladores estabelecem requisitos específicos; e a Política Nacional de Segurança da Informação (Decreto nº 9.637/2018) orienta a administração pública federal.
Dever de Segurança na LGPD
O artigo 46 da LGPD determina que agentes de tratamento devem adotar medidas de segurança desde a fase de concepção do produto ou serviço até a sua execução. A ANPD publicou orientações sobre padrões mínimos de segurança, que incluem: controle de acesso e autenticação; criptografia de dados em trânsito e em repouso; gestão de vulnerabilidades; backup e recuperação; e registro de atividades de tratamento (logging).
Responsabilidade por Incidentes
A responsabilidade da organização por incidentes cibernéticos pode ser analisada sob múltiplas perspectivas: responsabilidade civil perante titulares de dados afetados, com fundamento na LGPD e no Código Civil; responsabilidade administrativa perante a ANPD e reguladores setoriais; responsabilidade contratual perante clientes e parceiros; e, em casos extremos, responsabilidade criminal dos administradores por negligência.
A adoção comprovada de medidas de segurança adequadas pode atenuar a responsabilidade, enquanto a negligência sistemática pode agravá-la.
Normas Técnicas e Certificações
Embora não sejam obrigatórias por lei (salvo em setores regulados), normas técnicas como a ISO 27001 (Sistema de Gestão de Segurança da Informação) e a ISO 27701 (extensão para privacidade) fornecem frameworks reconhecidos de boas práticas. A adoção dessas normas pode demonstrar diligência em eventual questionamento regulatório ou judicial.
Plano de Resposta a Incidentes
Toda organização deve possuir um plano de resposta a incidentes cibernéticos que contemple: procedimentos de detecção e contenção; análise forense e preservação de evidências; comunicação às autoridades competentes; notificação a titulares de dados, quando aplicável; e análise pós-incidente e implementação de melhorias.
Seguros Cibernéticos
O mercado de seguros cibernéticos tem crescido no Brasil, oferecendo cobertura para custos de resposta a incidentes, perdas por interrupção de negócios, responsabilidade perante terceiros e custos de defesa. A contratação de seguro cibernético é cada vez mais considerada boa prática de gestão de risco e pode ser exigida contratualmente por parceiros e clientes.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".