A LGPD costuma ser tratada como assunto de jurídico e de contratos, e para de ser discutida antes de chegar na parte que sustenta tudo: a segurança da informação. O artigo 46 da lei obriga a adotar medidas técnicas e administrativas para proteger os dados pessoais. Firewall, segmentação de rede, controle de acesso e registro de eventos são o lado prático dessa exigência, e é justamente essa camada que muita empresa esquece.
Este guia liga a segurança de redes à conformidade. Ele mostra como cada controle de rede se conecta ao que a LGPD espera, sem prometer que firewall resolve LGPD sozinho, porque não resolve. Conteúdo técnico e educativo, não substitui orientação jurídica sobre um caso concreto. O objetivo é mostrar onde rede e privacidade se encontram.
O artigo 46 e o que ele cobra na prática
O artigo 46 da LGPD determina que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas, para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e vazamento. A lei não lista uma receita de produtos, o que confunde muita empresa. Ela cobra o resultado: dados protegidos por controles compatíveis com o risco.
Traduzir esse dever em controles concretos é o trabalho de segurança da informação. Controle de acesso, criptografia, segmentação de rede, registro de eventos, cópias de segurança e um plano de resposta a incidentes são as medidas que dão corpo à exigência da lei. Um firewall bem configurado e uma rede segmentada não são detalhe operacional; são parte do que a LGPD espera de quem guarda dados de pessoas.
Segmentação de rede: conter o alcance de um incidente
Uma rede plana, em que todos os sistemas se enxergam sem barreira, é um problema de privacidade além de ser um problema de segurança. Se um dispositivo é comprometido, o invasor alcança tudo que estiver na mesma rede, inclusive os sistemas que guardam dados pessoais. A segmentação separa a rede em zonas, de modo que o comprometimento de uma não abre acesso automático às demais.
Do ponto de vista da LGPD, isso é aplicar o princípio de reduzir o risco na prática. Isolar os sistemas que tratam dados sensíveis, separar a rede de visitantes da rede corporativa e limitar quem fala com o quê são decisões de arquitetura que diminuem tanto a probabilidade quanto o tamanho de um vazamento. O guia sobre segmentação de rede detalha como desenhar essas zonas.
Controle de acesso: quem pode chegar aos dados
A LGPD trabalha com a ideia de que cada tratamento tem uma finalidade e que só quem precisa deveria acessar os dados. No plano técnico, isso vira controle de acesso: regras de firewall que definem quem alcança quais sistemas, VPN com autenticação forte para o acesso remoto e o princípio de dar a cada um apenas o acesso necessário para a função.
Acesso remoto improvisado é um risco recorrente. Serviços abertos na internet, sem VPN e sem autenticação em duas etapas, deixam a porta encostada para os dados pessoais que estão do outro lado. Fechar esse acesso com VPN e autenticação adequada é uma das medidas de segurança mais diretas que a lei espera, e uma das mais negligenciadas na prática.
Registro de eventos: sem log não há investigação
A LGPD prevê que a empresa consiga demonstrar o que faz com os dados e que consiga apurar o que aconteceu quando algo dá errado. Sem registro de eventos, não há como investigar um incidente nem como responder às perguntas que virão depois dele. Os logs de firewall, de acesso e dos sistemas são a memória que permite reconstruir o que ocorreu.
Guardar log não é acumular arquivo por acumular. É ter o registro certo, pelo tempo adequado, de forma que resista a adulteração e permita investigar. Quando um incidente acontece, a diferença entre saber o que vazou e ficar no escuro está no que foi registrado antes. O guia sobre logs de firewall e monitoramento mostra como estruturar isso.
Incidente de segurança e o dever de comunicar
A LGPD cria um dever de comunicar incidentes de segurança que possam gerar risco relevante aos titulares, tanto à Autoridade Nacional de Proteção de Dados quanto às pessoas afetadas. Cumprir esse dever depende de detectar o incidente, entender o seu alcance e agir com método, o que só é possível com monitoramento e um plano de resposta preparado antes.
É aqui que a parte de rede e a parte jurídica se encontram de forma mais visível. A segurança de redes detecta e contém; o plano de resposta define quem faz o quê, quando comunicar e como registrar. Improvisar no meio de um incidente é o pior cenário. O guia sobre plano de resposta para incidentes de rede e o guia sobre incidente de segurança na LGPD tratam dos dois lados dessa mesma moeda.
O que o firewall faz e o que ele não faz pela LGPD
Vale ser honesto sobre os limites. Firewall, segmentação e VPN cuidam da segurança da rede, que é uma parte importante do artigo 46, mas não são a LGPD inteira. Eles não definem base legal, não escrevem política de privacidade, não gerenciam consentimento nem respondem pedidos de titular. Confundir segurança de rede com conformidade completa é um erro nos dois sentidos.
A conformidade real é a soma de três camadas: processo, documento e segurança da informação. Uma empresa com política impecável e contratos em ordem, mas com dados em um sistema exposto na internet e rede sem segmentação, não está em conformidade de verdade. E a recíproca também vale: rede blindada sem base legal e sem transparência não cumpre a lei. As camadas se somam, e a técnica é a que costuma ficar de fora.
Como alinhar a rede à LGPD, na prática
- Mapeie onde os dados pessoais ficam e quais sistemas os tratam.
- Segmente a rede para isolar os sistemas que guardam dados sensíveis.
- Feche o acesso remoto com VPN e autenticação em duas etapas.
- Aplique o princípio do acesso mínimo nas regras de firewall.
- Estruture o registro de eventos de forma que resista a adulteração.
- Prepare um plano de resposta a incidentes antes de precisar dele.
- Reforce a segurança das pessoas, porque a maioria dos incidentes começa em erro humano.
Onde a OpenSourceBrasil entra
A OpenSourceBrasil não presta consultoria jurídica em LGPD. O que fazemos é a camada técnica que a lei exige no artigo 46: segmentação de rede, firewall bem configurado, VPN com autenticação forte, controle de acesso, registro de eventos e apoio na resposta a incidentes. É a parte de segurança de redes que sustenta o programa de privacidade da empresa, sempre ajustada ao risco do ambiente. A parte jurídica fica com quem é da área; a técnica fica conosco.
Treinar a equipe na segurança da informação da LGPD
A camada técnica protege a rede, mas a maioria dos incidentes começa em uma pessoa que clicou onde não devia ou reutilizou uma senha fraca. Treinar a equipe é parte da segurança que a LGPD espera. O curso de LGPD Essencial do ValorFinal é gratuito, tem oito módulos e foi escrito por um especialista em segurança da informação, com um módulo dedicado a senhas, phishing e cuidados com o dia a dia.