Infostealers expõem empresas a riscos legais e sanções da LGPD

O vazamento de milhões de credenciais por malwares do tipo infostealer (programas que invadem dispositivos para roubar logins, senhas e dados sensíveis) evidencia não apenas uma falha tecnológica, mas também uma ameaça jurídica concreta para empresas. Sob a Lei Geral de Proteção de Dados (LGPD), organizações que não implementam políticas preventivas, auditorias e controles rigorosos podem ser responsabilizadas civil e administrativamente, inclusive quando a falha ocorre via fornecedores ou parceiros.

Segundo o advogado especialista em tecnologia da informação e cibersegurança, Bruno Fuentes, a LGPD exige que empresas adotem medidas técnicas e administrativas adequadas para proteger dados pessoais. “Isso significa que não basta investir em tecnologia; é preciso demonstrar governança, auditoria e treinamento contínuo. Caso contrário, a empresa pode responder juridicamente, mesmo que o vazamento tenha origem por terceiros”, comenta.

Incidentes como este, segundo o advogado, mostram que conselhos e diretores precisam integrar a segurança de dados às decisões estratégicas da empresa. “Não agir pode gerar sanções e também comprometer contratos e relações comerciais”, alerta.

Segundo a legislação, incidentes de segurança devem ser notificados imediatamente à Agência Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados, sob risco de multas, bloqueio ou eliminação de dados. A falta de medidas preventivas ou de governança efetiva pode gerar ainda ações por danos materiais e morais.

Assis Neto, especialista em direito empresarial, destaca que além da proteção de dados, há uma dimensão societária. “Conselhos e sócios precisam garantir que contratos com fornecedores contenham cláusulas claras sobre responsabilidade, comunicação de incidentes e governança corporativa. Negligenciar esses aspectos expõe a empresa a sanções da ANPD, litígios e impactos reputacionais”, explica.

Para Neto, empresas familiares e grupos societários, em particular, devem tratar a governança corporativa de forma integrada com compliance e contratos estratégicos. “Falhas de controle podem gerar responsabilidade direta de administradores e comprometer a confiança entre sócios e investidores”, revela.

Para os juristas, proteção de dados não é apenas tecnologia, é estratégia jurídica e corporativa. Incidentes como os causados por infostealers demonstram que empresas que não alinham TI, jurídico e governança de fornecedores podem enfrentar sérias consequências legais e regulatórias.