Notícia
Artigo
Dados pessoais, vulnerabilidades cibernéticas e a importância da governança em proteção de dados
As fraudes cibernéticas têm crescido e se sofisticado em velocidade proporcional à digitalização da sociedade e a evolução tecnológica. Segundo dados aferidos pelo instituto de Pesquisa DataSenado, os golpes digitais atingem 24% da população brasileira.
O uso indevido de dados pessoais está no cerne de muitas dessas fraudes, servindo de insumo para ataques de engenharia social, invasões, fraudes bancárias e golpes diversos. Nesse contexto, o tratamento adequado de dados pessoais sob as diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD) é uma poderosa ferramenta de prevenção, contribuindo tanto para a proteção dos titulares quanto para a segurança jurídica das empresas.
A maior parte das fraudes digitais começa com o acesso a um dado pessoal: um CPF, e-mail, número de cartão, telefone, endereço ou até mesmo dados de comportamento digital. Com essas informações, fraudadores constroem perfis, aplicam golpes personalizados, contornam autenticações e exploram vulnerabilidades humanas e tecnológicas.
Dados vazados, coletados sem consentimento, tratados sem critérios ou armazenados sem segurança compõem um verdadeiro ecossistema de riscos. Por isso, é possível afirmar que dados pessoais mal gerenciados são o combustível da fraude digital.
A conformidade regulatória com a LGPD como ferramenta de prevenção à fraude
A LGPD oferece um arcabouço normativo que, quando corretamente aplicado, fortalece a prevenção à fraude, tanto do ponto de vista de proteção dos dados para que não sejam insumo para fraudes, quanto do ponto de vista da licitude do tratamento de dados para essa finalidade. Isso se dá por meio da criação de uma governança efetiva de dados pessoais, que envolve, dentre outros pontos:
- Clareza sobre a finalidade do tratamento;
- Limitação do acesso e da coleta ao necessário;
- Adoção de medidas técnicas e administrativas de segurança;
- Adoção de uma hipótese legal adequada
- Definição de regras claras de compartilhamento e retenção.
Importa destacar que todo tratamento de dados pessoais deve observar os princípios de proteção de dados, como a finalidade, adequação, necessidade, transparência, segurança, prevenção, qualidade dos dados, não discriminação, responsabilização e prestação de contas. Além disso, precisa estar fundamentado em uma das hipóteses legais previstas na legislação e atender às obrigações impostas aos agentes de tratamento, que variam conforme o papel desempenhado na atividade, seja como operador ou como controlador. Essa conformidade regulatória reduz os riscos e previne danos decorrentes do tratamento de dados, como fraudes cibernéticas.
O combate eficaz às fraudes depende de tecnologias alimentadas, muitas vezes, por dados pessoais. Para isso, é cada vez mais necessário que as empresas não apenas protejam dados contra vazamentos — que poderiam ser usados para cometer mais fraudes — mas também os utilizem de forma lícita para implementar e aprimorar tecnologias antifraude.
Destaca-se abaixo duas hipóteses legais para o tratamento de dados com a finalidade de prevenção à fraude:
- Legítimo Interesse (Art. 7º, IX): Autoriza o tratamento de dados pessoais não sensíveis. Recomenda-se a realização de um teste de balanceamento que demonstre a legitimidade e delimitação da finalidade, a necessidade do tratamento (inexistência de alternativa menos intrusiva) e a adoção de salvaguardas que garantam a prevalência dos direitos e liberdades individuais dos titulares.
- Prevenção à Fraude e Segurança do Titular (Art. 11, II, “g”): Autoriza o tratamento de dados pessoais sensíveis, como dados de biometria fisiológica e comportamental, quando necessário para a prevenção à fraude e segurança do titular, inclusive nos processos de autenticação eletrônica.
Ambas as hipóteses exigem cautela e observância dos princípios da proteção de dados, bem como a realização de teste de balanceamento, além do cumprimento das demais obrigações legais previstas na LGPD.
Importância da conformidade e da segurança jurídica
Tratar dados de forma legítima e transparente é um elemento essencial de confiança e reputação no ambiente digital. A conformidade com a LGPD garante segurança jurídica às empresas, reduzindo a exposição a sanções administrativas, ações judiciais e perdas reputacionais.
Mais do que isso, ela permite que as empresas atuem proativamente no combate às fraudes, estruturando processos que identificam e bloqueiam comportamentos suspeitos antes que o dano aconteça. A prevenção é sempre mais eficiente e mais barata do que a reparação.
Considerações Finais
Para combater as fraudes cibernéticas de forma eficaz, é preciso ir além da tecnologia. O sucesso depende de uma abordagem integrada que combine conformidade regulatória, a conscientização e capacitação das pessoas, e o uso responsável da tecnologia.
Combater fraudes é proteger a própria cidadania, a economia e a integridade das relações digitais.
Referências:
SENADO FEDERAL. Golpes digitais atingem 24% da população brasileira, revela DataSenado. Disponível em: https://www12.senado.leg.br/noticias/materias/2024/10/01/golpes-digitais-atingem-24-da-populacao-brasileira-revela-datasenado. Acesso em: 22 ago. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 22.ago.2025.
____________________
Sobre a autora
Débora Sirotheau é gerente do Departamento de Combate à Fraude Cibernética do Serpro. Analista de TI com pós-graduação em redes de computadores pela UFPA, é advogada pós-graduada em Privacidade e Proteção de Dados Pessoais pela Faculdade de Direito da Universidade de Lisboa e pela Escola Superior do Ministério Público do Rio Grande do Sul. Certificada CIPM E CDPO/BR pela IAPP, certificada NIST CSF 2.0 e NIST RMF, conselheira titular do CNPD/ANPD. Palestrante e Professora convidada em cursos de Pós-graduação nas disciplinas de Proteção de Dados Pessoais. Foi Vice-presidente da Comissão Especial de Proteção de Dados da OAB Nacional.