Sete anos após a sanção da Lei Geral de Proteção de Dados (LGPD), houve avanços na proteção de informações sensíveis, mas a lei enfrenta novos desafios movidos pelo uso de IA. De acordo com o Centro de Tratamento e Respostas a Incidentes Cibernéticos do Governo (CTIR Gov), em 2024, foram sinalizados mais de 3 mil vazamentos de dados no País. A Agência Nacional de Proteção de Dados (ANPD), por sua vez, relatou em seus painéis públicos de acompanhamento de comunicação de incidentes que, até junho de 2025, houve 183 registros de vazamentos.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

Um levantamento feito pela IT Trends Snapshot mostrou que, até 2023, apenas 36% das empresas se declararam totalmente em conformidade com as regras estabelecidas pela LGPD. De acordo com a lei, são previstas sanções de até 2% do faturamento anual da empresa.

“A LGPD conferiu aos titulares um conjunto efetivo de direitos, como acesso, retificação, eliminação, portabilidade e oposição, e instituiu um novo paradigma de responsabilização: passou a exigir que organizações respaldem todo tratamento de dados em bases legais claras, implementem medidas técnicas e organizacionais de segurança e governança (incluindo avaliação de impacto e gestão de incidentes), mantenham transparência e registros de atividades e garantam prestação de contas, sob risco de sanções administrativas e reputacionais em caso de descumprimento”, afirma a advogada do escritório Bosquê & Grieco, Karina Gutierrez.

A instituição da LGPD trouxe um paradigma de responsabilização, exigindo bases legais claras para o tratamento e transparência e controles técnicos e organizacionais que previnam e mitiguem incidentes. Em complemento, especialistas em segurança alertam que as IAs aumentam a superfície de riscos. “Modelos de linguagem podem reproduzir trechos sensíveis usados em prompts e ataques de prompt injection já demonstraram a possibilidade de extração de dados de sistemas integrados. Simplificando, sem segregação de ambientes e backups criptografados, o uso de IA possibilita a ampliação de vazamentos em vez de diminuí-los”, afirma Rogério Rutledge, DPO da Runtalent.

Diante desse cenário, a resposta corporativa precisa ir além do “estar em conformidade”. Empresas que lidam com dados sensíveis em suas rotinas, precisam seguir o caminho da proteção de dados a partir de investimentos estratégicos, algo que a Runtalent (do setor de recrutamento e seleção, bem como soluções e serviços em IA) tem colocado em prática e oferecido aos seus parceiros.

De acordo com Rutledge, algumas dicas sobre como proteger sua empresa são:

• Governança de dados e inventário de bases;
• Controles de acesso e políticas de identidade;
• Backups criptografados e segregação de ambientes de treino de IA;
• Testes regulares como pen tests, testes de extração e simulação de incidentes;
• Plano de resposta a incidentes e comunicação integrada com a ANPD e titulares;
• Formação contínua de equipes e due diligence de fornecedores;
• Avaliação de seguro cibernético e métricas de retorno sobre investimento em segurança.

Tais medidas são necessárias para, além de reduzir a probabilidade e o impacto de vazamentos, limitar exposição a sanções, ações judiciais e prejuízo de reputação. Custos que, na maioria dos casos, superam em muito o investimento em prevenção.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga