Nesta semana, tivemos o Dia da Proteção de Dados (28 de janeiro), este é o momento ideal para destacar o papel crítico que a proteção de dados desempenha no sucesso das organizações e empresas modernas.
De fato, privacidade e proteção de dados andam lado a lado com a cibersegurança. Leis importantes, como a LGPD, enfatizam não apenas a necessidade de respeitar os direitos de privacidade dos seus clientes, mas também de proteger suas informações pessoais mais sensíveis por meio de tecnologias avançadas, como a criptografia. Comemorações como o Dia da Proteção de Dados vão além de uma simples data, ela deve ser encarada como um chamado à ação para priorizar a segurança e a privacidade dos dados em um cenário digital em constante evolução.
Os últimos 12 meses foram transformadores para a privacidade global, impulsionados por novas leis, decisões judiciais significativas e tendências emergentes em tecnologia e ameaças. Em 2025, podemos esperar uma continuidade desse ritmo intenso e desafiador.
O que aconteceu em 2024?
Ao longo do último ano, testemunhamos:
Multas no Brasil
Em dezembro, a ANPD (Autoridade Nacional de Proteção de Dados) notificou cerca de 20 grandes empresas por não cumprirem com as exigências da LGPD. Um dos principais pontos de não conformidade identificado foi a ausência de indicação de encarregados pelo tratamento de dados, algo obrigatório pela lei.
Entre as empresas destacam-se a BlueFit Academias de Ginástica e Participações S.A., conhecida rede de academias; a Bytedance Brasil Tecnologia Ltda (TikTok), plataforma globalmente popular de vídeos curtos; a Dell Computadores do Brasil Ltda (Dell), gigante da tecnologia; a Equatorial Goiás Distribuidora de Energia Elétrica S/A (Equatorial Energia), uma das principais distribuidoras de energia elétrica do país; e a Uber do Brasil Tecnologia Ltda (Uber), multinacional de mobilidade.
A ANPD alertou que, caso as irregularidades persistam, as empresas poderão ser alvo de processos administrativos e penalidades, incluindo advertências e multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.
Multas bilionárias reforçam a importância da cibersegurança
A aplicação de multas por violações de privacidade e proteção de dados continua crescendo globalmente, com grandes empresas sendo responsabilizadas por falhas na segurança da informação:
- LinkedIn: multado em R$1,7 bilhão pela GDPR por processar dados de terceiros sem consentimento formal.
- Uber: penalizado em R$1,6 bilhão por não proteger adequadamente os dados de motoristas armazenados nos EUA.
- Meta: recebeu uma multa de R$500 milhões por armazenar senhas de usuários em texto simples.
- Meta (novamente): fechou um acordo de R$7 bilhões com o estado do Texas por captura e uso ilegal de dados biométricos.
Esses casos ressaltam a necessidade de reforçar medidas de segurança e compliance para evitar riscos financeiros e reputacionais.
Esforços globais de governança da IA avançam
Diferentes países e blocos econômicos têm intensificado a regulamentação da inteligência artificial, buscando equilibrar inovação e segurança. Entre as principais iniciativas:
- União Europeia: aprovação do Regulamentação de IA, estabelecendo regras para o desenvolvimento e uso responsável da tecnologia.
- Reino Unido, UE e EUA: adesão à Convenção-Quadro do Conselho da Europa sobre IA, que visa padronizar princípios éticos e regulatórios.
- China: implementação do Quadro de Governança de Segurança da IA, reforçando o controle sobre aplicações e impactos da tecnologia.
- Brasil: avanços na regulamentação da IA, acompanhando o movimento global por diretrizes mais claras e seguras.
O cenário regulatório segue em evolução, refletindo a crescente preocupação com transparência, responsabilidade e mitigação de riscos.
O que esperar para 2025?
O impacto de muitos desses acontecimentos será sentido ao longo de 2025 e além, enquanto as leis que estão por vir e as tendências de longo prazo no cenário de ameaças criarão mais complexidade e urgência para as equipes de segurança e compliance. Esteja preparado para:
Mais leis de proteção de dados
Isso inclui o Projeto de Lei C-27 do Canadá, o Projeto de Lei de Dados (Uso e Acesso) do Reino Unido e nada menos que oito leis estaduais de privacidade, em Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota e Maryland. Elas ajudarão cumulativamente a aumentar a conscientização e a consagrar os direitos de privacidade na legislação, além de abrir caminho para a aplicação de regulamentações. O resultado final será provavelmente aumentar a pressão sobre as equipes de compliance e líderes empresariais para melhorar as medidas de proteção de dados.
Mais fiscalização
Podemos esperar que os reguladores comecem a reforçar sua atuação à medida que as leis aprovadas em 2024 entram em vigor e diversos requisitos se tornam obrigatórios. Por exemplo, a Lei de IA da UE incluirá:
- Uma proibição, a partir de 2 de fevereiro, de sistemas de IA que apresentem riscos inaceitáveis (como pontuação social e coleta indiscriminada de dados faciais).
- Requisitos para modelos de IA de propósito geral, a partir de 2 de agosto, incluindo a obrigatoriedade de que desenvolvedores de IA generativa (GenAI) avaliem e mitiguem riscos sistêmicos e documentem medidas de cibersegurança.
Mais ameaças e maior risco à privacidade
O último ano registrou números recordes de vazamentos de dados divulgados publicamente nos EUA, com mais de 353 milhões de usuários finais expostos a fraudes de identidade como consequência. À medida que ferramentas de IA, credenciais roubadas e serviços especializados continuam a se expandir no submundo do cibercrime, espera-se uma enxurrada de ataques cibernéticos relativamente sofisticados, capazes de surpreender equipes de segurança despreparadas. A IA generativa (GenAI), em particular, aprimorará a qualidade das campanhas de engenharia social e a identificação de ativos de TI vulneráveis ou expostos.
Organizações que não melhorarem sua postura de segurança seguindo as melhores práticas correm o risco de atrair a atenção dos reguladores de privacidade globais.
Cibercriminosos explorando novas legislações
Assim como ocorreu com a introdução do GDPR, ou até mesmo da LGPD, cibercriminosos podem explorar o temor de sanções regulatórias para pressionar vítimas em ataques de extorsão. Por exemplo, as multas da NIS2 podem chegar a R$54 milhões ou 2% da receita global anual. Além disso, caso a nova lei impulsione melhorias nas organizações regulamentadas, é provável que os atacantes redirecionem sua atenção para empresas não abrangidas pela diretiva, como pequenas empresas.
IA gerando desafios de conformidade com privacidade
Os sistemas de IA dependem de grandes volumes de dados para treinamento, frequentemente coletados da web ou de contas de clientes existentes. Isso pode gerar desafios de privacidade se o consentimento não for claramente obtido, como ocorreu com o LinkedIn no Reino Unido. Além disso, sistemas de IA pouco transparentes podem dificultar a exclusão ou correção de informações pessoais solicitadas por usuários. Diversos estados dos EUA já planejam legislações específicas para IA, seguindo o exemplo do Colorado.
O que fazer agora?
Nesse cenário, 2025 pode ser um ano crucial para as equipes de segurança e compliance. Certifique-se de estar um passo à frente ao:
- Manter-se atualizado sobre mudanças regulatórias e legislativas relevantes e entender os requisitos de privacidade aplicáveis à sua organização;
- Reforçar a segurança de dados de acordo com as melhores práticas do setor;
- Garantir que os responsáveis pelos dados corporativos sejam claramente identificados e criar um sistema robusto de relatórios que defina os papéis e responsabilidades de todos os envolvidos;
- Realizar avaliações de impacto à proteção de dados antes de introduzir qualquer novo produto ou serviço (por exemplo, uma nova ferramenta de IA), além de implementar as salvaguardas adequadas com base na DPIA;
- Monitorar o desempenho, revisar os protocolos de segurança e abordar áreas que necessitam de atenção.
A proteção de dados muitas vezes pode parecer um fardo, mas, na verdade, deve ser encarada como uma oportunidade. Ela oferece à sua organização a chance de fortalecer a lealdade e a confiança dos clientes, além de diminuir o risco de violações financeiras e prejuízos a reputação. Encare 2025 sob essa perspectiva e os próximos 12 meses poderão abrir portas para novas possibilidades de negócios.