A LGPD costuma ser tratada como assunto jurídico, mas metade dela é técnica. O artigo 46 obriga quem trata dados a adotar medidas de segurança capazes de protegê-los contra acesso indevido, perda, alteração e vazamento. A lei não nomeia ferramentas, mas descreve um resultado, e alcançar esse resultado é trabalho de segurança da informação.
Este guia liga cada exigência da LGPD a controles técnicos concretos. É a ponte entre a lei e a infraestrutura, o ponto onde firewall, segmentação e controle de acesso deixam de ser só boas práticas e passam a ser parte da conformidade.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
O que o artigo 46 realmente pede
O artigo 46 exige medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e vazamento. O artigo 47 estende esse dever a todos que participam do tratamento, inclusive após o seu término. E a lei pede que a segurança seja considerada desde a concepção do projeto, não remendada depois.
A lei é neutra em tecnologia de propósito. Ela não manda usar o produto X ou Y, porque isso ficaria velho rápido. Em vez disso, cobra um nível de proteção compatível com o risco. Quanto mais sensível o dado e maior o volume, mais robustos precisam ser os controles.
Controle de acesso e autenticação
O primeiro controle é saber quem acessa o quê. Cada pessoa deve ter acesso apenas aos dados de que precisa para o trabalho, seguindo o princípio do menor privilégio. Acessos administrativos merecem autenticação forte, de preferência com múltiplos fatores, e contas de pessoas que saíram da empresa precisam ser desativadas na hora.
No acesso remoto, expor sistemas diretamente na internet é um dos erros mais explorados. Uma VPN com autenticação forte mantém esses sistemas fora do alcance de quem não deveria vê-los, o que reduz muito a superfície de ataque.
Criptografia e proteção do dado
Cifrar dados em trânsito e em repouso é uma das medidas mais eficazes e mais valorizadas pela lei. A LGPD trata como atenuante o fato de os dados afetados por um incidente estarem ininteligíveis, ou seja, cifrados ou anonimizados. Em outras palavras, criptografia bem aplicada reduz o dano e o peso de uma eventual sanção.
Segmentação de rede
Guardar todos os dados em uma rede plana, onde tudo conversa com tudo, é convite para que um único equipamento comprometido dê acesso a tudo. A segmentação separa ambientes e limita a movimentação lateral de um invasor. Dados sensíveis, em especial, se beneficiam de viver em segmentos isolados, com regras estritas de quem entra e sai.
Registro de eventos e monitoramento
Sem registro, um incidente passa despercebido e a empresa não consegue nem dizer o que aconteceu. Manter logs de acesso e de eventos relevantes, com monitoramento, permite detectar comportamento anômalo cedo e reconstruir a história depois. Isso também alimenta a resposta a um pedido da ANPD, que costuma perguntar exatamente quais dados foram afetados.
Backup e continuidade
Proteção de dados também é disponibilidade. Um ataque de ransomware que cifra os dados da empresa é, ao mesmo tempo, um incidente de segurança e uma quebra de continuidade. Backups testados e guardados de forma separada são o que permite retomar a operação sem pagar resgate e sem perder informação.
Plano de resposta a incidentes
A LGPD parte do princípio de que incidentes acontecem e cobra que a empresa saiba reagir. Ter um plano de resposta, com papéis definidos e passos claros, é o que diferencia uma reação organizada de um caos improvisado. Esse plano se conecta diretamente com a obrigação de comunicar incidentes à ANPD e aos titulares, tratada no guia sobre incidentes de segurança.
Onde a OpenSourceBrasil atua
Nada disso é consultoria jurídica. É segurança de redes, e é exatamente o que fazemos. Firewall bem configurado, segmentação, VPN de acesso remoto, controle de acesso, monitoramento e apoio na resposta a incidentes são a tradução técnica do que o artigo 46 exige. Os guias de segmentação de rede, hardening de firewall e plano de resposta a incidentes aprofundam cada controle.
Segurança da informação para quem não é de TI
Os controles técnicos protegem, mas o hábito das pessoas também. O curso de LGPD Essencial do ValorFinal tem um módulo de segurança da informação para funcionários, com senhas, verificação em duas etapas, phishing e backup, tudo em linguagem simples. É gratuito e cobre a parte humana que nenhum firewall resolve sozinho.