Pular para o conteúdo
Privacidade e LGPD

LGPD e segurança da informação: os controles técnicos do artigo 46

Por equipe técnica da OpenSourceBrasil10 min de leituraAtualizado em

A LGPD costuma ser tratada como assunto jurídico, mas metade dela é técnica. O artigo 46 obriga quem trata dados a adotar medidas de segurança capazes de protegê-los contra acesso indevido, perda, alteração e vazamento. A lei não nomeia ferramentas, mas descreve um resultado, e alcançar esse resultado é trabalho de segurança da informação.

Este guia liga cada exigência da LGPD a controles técnicos concretos. É a ponte entre a lei e a infraestrutura, o ponto onde firewall, segmentação e controle de acesso deixam de ser só boas práticas e passam a ser parte da conformidade.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

O que o artigo 46 realmente pede

O artigo 46 exige medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e vazamento. O artigo 47 estende esse dever a todos que participam do tratamento, inclusive após o seu término. E a lei pede que a segurança seja considerada desde a concepção do projeto, não remendada depois.

A lei é neutra em tecnologia de propósito. Ela não manda usar o produto X ou Y, porque isso ficaria velho rápido. Em vez disso, cobra um nível de proteção compatível com o risco. Quanto mais sensível o dado e maior o volume, mais robustos precisam ser os controles.

Controle de acesso e autenticação

O primeiro controle é saber quem acessa o quê. Cada pessoa deve ter acesso apenas aos dados de que precisa para o trabalho, seguindo o princípio do menor privilégio. Acessos administrativos merecem autenticação forte, de preferência com múltiplos fatores, e contas de pessoas que saíram da empresa precisam ser desativadas na hora.

No acesso remoto, expor sistemas diretamente na internet é um dos erros mais explorados. Uma VPN com autenticação forte mantém esses sistemas fora do alcance de quem não deveria vê-los, o que reduz muito a superfície de ataque.

Criptografia e proteção do dado

Cifrar dados em trânsito e em repouso é uma das medidas mais eficazes e mais valorizadas pela lei. A LGPD trata como atenuante o fato de os dados afetados por um incidente estarem ininteligíveis, ou seja, cifrados ou anonimizados. Em outras palavras, criptografia bem aplicada reduz o dano e o peso de uma eventual sanção.

Segmentação de rede

Guardar todos os dados em uma rede plana, onde tudo conversa com tudo, é convite para que um único equipamento comprometido dê acesso a tudo. A segmentação separa ambientes e limita a movimentação lateral de um invasor. Dados sensíveis, em especial, se beneficiam de viver em segmentos isolados, com regras estritas de quem entra e sai.

Registro de eventos e monitoramento

Sem registro, um incidente passa despercebido e a empresa não consegue nem dizer o que aconteceu. Manter logs de acesso e de eventos relevantes, com monitoramento, permite detectar comportamento anômalo cedo e reconstruir a história depois. Isso também alimenta a resposta a um pedido da ANPD, que costuma perguntar exatamente quais dados foram afetados.

Backup e continuidade

Proteção de dados também é disponibilidade. Um ataque de ransomware que cifra os dados da empresa é, ao mesmo tempo, um incidente de segurança e uma quebra de continuidade. Backups testados e guardados de forma separada são o que permite retomar a operação sem pagar resgate e sem perder informação.

Plano de resposta a incidentes

A LGPD parte do princípio de que incidentes acontecem e cobra que a empresa saiba reagir. Ter um plano de resposta, com papéis definidos e passos claros, é o que diferencia uma reação organizada de um caos improvisado. Esse plano se conecta diretamente com a obrigação de comunicar incidentes à ANPD e aos titulares, tratada no guia sobre incidentes de segurança.

Onde a OpenSourceBrasil atua

Nada disso é consultoria jurídica. É segurança de redes, e é exatamente o que fazemos. Firewall bem configurado, segmentação, VPN de acesso remoto, controle de acesso, monitoramento e apoio na resposta a incidentes são a tradução técnica do que o artigo 46 exige. Os guias de segmentação de rede, hardening de firewall e plano de resposta a incidentes aprofundam cada controle.

Segurança da informação para quem não é de TI

Os controles técnicos protegem, mas o hábito das pessoas também. O curso de LGPD Essencial do ValorFinal tem um módulo de segurança da informação para funcionários, com senhas, verificação em duas etapas, phishing e backup, tudo em linguagem simples. É gratuito e cobre a parte humana que nenhum firewall resolve sozinho.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

Incidente de segurança na LGPD

Vazou dado? A LGPD tem regras claras. Veja quando comunicar a ANPD e os titulares, o prazo de 3 dias úteis e como se preparar antes que o incidente aconteça.

Ler guia
Arquitetura

Segmentação de rede

Redes planas amplificam incidentes. A segmentação limita a movimentação lateral e reduz o impacto de um host comprometido.

Ler guia

Dúvidas comuns

Perguntas frequentes

A LGPD exige medidas de segurança da informação?

Sim. O artigo 46 obriga a adotar medidas técnicas e administrativas para proteger os dados contra acesso indevido, perda, alteração e vazamento. A lei não nomeia ferramentas, mas cobra um nível de proteção compatível com o risco do tratamento.

Quais controles técnicos a LGPD espera?

A lei é neutra em tecnologia, mas os controles usuais são controle de acesso e autenticação forte, criptografia em trânsito e em repouso, segmentação de rede, registro de eventos, backup e um plano de resposta a incidentes. Quanto mais sensível o dado, mais robustos devem ser.

Criptografia ajuda em caso de vazamento?

Sim. A LGPD considera atenuante o fato de os dados afetados estarem ininteligíveis, ou seja, cifrados ou anonimizados. Criptografia bem aplicada reduz o dano de um incidente e pode diminuir o peso de uma sanção.

Firewall e segmentação têm a ver com LGPD?

Têm relação direta. Firewall, segmentação de rede e VPN são parte das medidas de segurança que o artigo 46 exige. Eles limitam quem acessa os dados e contêm o impacto de um comprometimento, sustentando na prática a conformidade com a lei.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.