Em incidentes de segurança, especialmente ataques de ransomware, a Agência Nacional de Proteção de Dados (ANPD) tem demonstrado que a mera alegação de ausência de vazamento de dados não é suficiente. A ANPD ensina que a falta de logs adequados, capazes de comprovar ou refutar a exfiltração de informações, pode se voltar contra o controlador, dificultando a apuração do incidente e a avaliação dos riscos envolvidos
Por: Tiago Neves Furtado, sócio do Opice Blum Advogados
Quando uma empresa enfrenta um incidente de segurança — especialmente ataques do tipo ransomware — é comum nos depararmos com um cenário de aparente tranquilidade, no qual a organização afirma que não há necessidade de comunicar a ANPD, afinal, não há provas de que houve vazamento de dados.
Essa confiança costuma estar ancorada em relatórios de investigação forense que concluem que “não há evidência de exfiltração de dados” e na ausência de publicações dos dados afetados por parte dos cibercriminosos.
Mas não deveria ser assim. Pelo menos, esse não tem sido o entendimento da ANPD. A conclusão de que não houve vazamento só deve ser considerada quando há evidências técnicas suficientes para afastar a possibilidade de exfiltração. E, caso essa exfiltração tenha ocorrido, é necessário que haja evidências que permitam à empresa avaliar quais dados foram afetados e quais os riscos envolvidos para os titulares.
Em outras palavras: ausência de evidência não é evidência de ausência. A ANPD tem sido bastante categórica nesse ponto. Um exemplo público no site da própria autoridade é o processo sancionador contra o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE), registrado sob o número 00261.001969/2022-41.
Nesse caso, a ANPD concluiu que a falta de registros adequados comprometeu a apuração do incidente e a avaliação dos riscos. A autoridade foi clara ao afirmar que “essa incerteza, provocada por falha em cumprir dever legal (da guarda de logs como medida de segurança), se volta contra o controlador”, destacando que a responsabilidade não desaparece simplesmente porque não se pode comprovar o que ocorreu.
Em outros casos analisados pela ANPD — ainda em sigilo — temos observado a adoção de três premissas fundamentais:
- A publicação de dados na dark web gera a presunção de que houve vazamento, salvo prova técnica em sentido contrário;
- A ausência de logs ou evidências claras impede a empresa de refutar essa alegação;
- Diante da falta de evidências, aplica-se o pior cenário possível.
Em uma decisão confidencial, a ANPD reforça esse entendimento: “Como o processo não contém informações técnicas sobre o incidente, nem o total de titulares cujos dados são tratados por ele, não é possível inferir com as informações presentes que o impacto não foi maior (…). Deve-se considerar o pior cenário possível.”
A mensagem é direta: não basta alegar que não houve vazamento — é preciso demonstrar tecnicamente. A verdade é que a ausência de logs compromete essa demonstração, podendo levar não apenas à obrigação de comunicação, mas também à aplicação de sanções.
O problema é que armazenar logs pode ser caro, por isso é preciso encarar essa atividade de maneira estratégica. O primeiro passo é mapear os sistemas e integrações que geram — ou deveriam gerar — logs. Comece pelos ativos críticos, sistemas de autenticação e integrações com terceiros. É essencial também considerar os logs cuja guarda é obrigatória em razão do Marco Civil da Internet.
Feito isso, identifique os eventos que precisam ser registrados: logins, falhas, acessos privilegiados, alterações administrativas, entre outros. Avalie se os registros disponíveis hoje são suficientes para reconstruir um incidente — ou seja, se permitem entender o que aconteceu, quando ocorreu e qual foi o impacto.
Com esse diagnóstico inicial em mãos, avance para a estruturação da governança. Defina políticas claras de logging: quando gerar registros, por quanto tempo armazená-los, como analisá-los, quando descartá-los e quem são os responsáveis.
Com a governança definida, é hora de implementar e monitorar os controles. Use o protocolo NTP (Network Time Protocol) para garantir a sincronização dos horários dos sistemas — essencial para a correlação de eventos. Configure sistemas, servidores (inclusive em nuvem) e aplicações para registrar logs das atividades críticas de forma segura e completa. Certifique-se de que os eventos considerados críticos estão devidamente configurados. Inclua também as APIs de terceiros nesse plano, registrando chamadas, autenticações, escopos de acesso e dados manipulados.
Por fim, estabeleça rotinas de análise periódica dos logs, com uso de ferramentas como SIEMs ou scripts automatizados. Considere o envolvimento de profissionais seniores na revisão de eventos críticos. E, sobretudo, não se esqueça de incluir a preservação dos logs no plano de resposta a incidentes — garantindo que os registros fiquem disponíveis para análise forense e comunicação regulatória.
Quem não mantém logs reduz drasticamente sua capacidade de defesa e aumenta a necessidade de comunicação à ANPD e aos titulares. A ausência desses registros compromete a compreensão do incidente, a demonstração de diligência, a avaliação de impactos e a justificativa para decisões críticas.
Se sua organização ainda não trata logs como prioridade, este é o momento de repensar essa estratégia. Em um cenário de ameaças cibernéticas cada vez mais sofisticadas e exigências regulatórias cada vez mais rigorosas, registrar, preservar e analisar logs é mais do que uma boa prática técnica — é uma exigência de governança, transparência e responsabilidade.
Sobre Opice Blum
Opice Blum Advogados é sinônimo de inovação digital. Desde 1997, o escritório é parceiro de seus clientes, redefinindo os limites do possível e trazendo novas estratégias para novas necessidades.
Com um time de advogados especialistas, o escritório está onde a transformação acontece e se destaca pela excelência em áreas capazes de impactar positivamente os setores em que atua, como Proteção de Dados, Segurança da Informação, Contencioso Digital e Legal Innovation, entre outras.
Acesse a coluna do Escritório Opice Blum Advogados e leia outros artigos.
Em nossa coluna LEGALTECH, sobre direito e tecnologia, você encontra excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
