A LGPD (Lei 13.709/2018) obriga toda empresa que trata dados pessoais a adotar medidas técnicas e administrativas de segurança para proteger esses dados contra acessos indevidos, vazamentos e perdas (art. 46). A lei não exige uma ferramenta específica, mas cobra que a proteção seja adequada ao risco — e que a empresa consiga demonstrar isso.
Este conteúdo é informativo e não substitui a orientação de um advogado ou de um DPO. Ainda assim, entender o que a LGPD espera em termos de segurança ajuda a tomar decisões melhores — e a saber o que cobrar de fornecedores de tecnologia. A boa notícia: quase tudo que a lei pede em segurança são práticas que uma operação de defesa já faz por padrão.
O que a LGPD pede em termos de segurança
A LGPD tem entre seus fundamentos os princípios da segurança e da prevenção: dados pessoais devem ser tratados de forma a evitar danos aos titulares. Na prática, o artigo 46 obriga controladores e operadores a adotar medidas técnicas e administrativas aptas a proteger os dados. Isso inclui, entre outros:
- Controle de acesso — só quem precisa dos dados tem acesso a eles, com identificação e registro de quem acessou o quê.
- Prevenção a incidentes — monitorar o ambiente para detectar acessos indevidos, tentativas de invasão e comportamentos anormais.
- Medidas técnicas — criptografia, backup, atualização de sistemas e proteção de servidores e dispositivos.
- Medidas administrativas — políticas internas, treinamento de equipe e processos claros de resposta.
- Accountability — capacidade de demonstrar, com registros e relatórios, que essas medidas existem e funcionam.
O ponto central é que a segurança precisa ser proporcional ao risco: quanto mais sensíveis os dados e maior o impacto de um vazamento, mais robustas devem ser as medidas.
Incidente de dados: o que fazer
Um incidente de segurança com dados pessoais — um vazamento, um ransomware, um acesso indevido — pode gerar obrigações imediatas. Quando o incidente puder acarretar risco ou dano relevante aos titulares, a empresa precisa comunicar a ANPD (Autoridade Nacional de Proteção de Dados) e os próprios titulares afetados, em prazo razoável.
Para conseguir cumprir isso, a empresa precisa antes de tudo detectar que o incidente ocorreu e registrar o que aconteceu: quando começou, quais dados foram afetados, o que foi feito para conter. Sem detecção e registro, não há como avaliar o risco nem como comunicar corretamente. É por isso que monitoramento e um plano de resposta são tão importantes — veja resposta a incidentes para as fases desse processo.
O papel da ANPD e as sanções
A ANPD é o órgão que fiscaliza o cumprimento da LGPD e aplica sanções quando há descumprimento. As sanções previstas na lei vão de advertência (com prazo para corrigir) até multa, passando por bloqueio ou eliminação dos dados envolvidos.
A multa pode chegar a 2% do faturamento da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração. Vale deixar claro: esse é o teto legal, não uma ameaça nem o valor esperado — a ANPD costuma priorizar orientação e correção, e a dosagem da sanção considera a gravidade, a boa-fé e as medidas que a empresa já adotava. Justamente por isso, conseguir demonstrar diligência conta a favor.
Como monitoramento e resposta ajudam na conformidade
Aqui é onde a segurança operacional encontra a LGPD. Uma boa operação de defesa entrega exatamente aquilo que a lei espera:
- Vigilância 24h — monitoramento contínuo do ambiente, atendendo ao princípio da prevenção.
- Detecção de incidentes — perceber cedo um acesso indevido é o que permite comunicar a ANPD e os titulares dentro do prazo.
- Logs e registro — o histórico de eventos é a base da accountability: mostra o que aconteceu e o que foi feito.
- Resposta rápida — conter o incidente reduz o dano aos titulares e demonstra que a empresa agiu com diligência.
É esse conjunto que um SOC gerenciado entrega. O Argos, o SOC gerenciado 24h da NoBug, é aderente à LGPD e mantém os dados no Brasil, em data center próprio ou do cliente. Sua IA, a Alice, remove os dados pessoais antes de qualquer análise automatizada — e pode ser desligada, deixando a análise apenas com pessoas, se a empresa preferir. Ao final de cada mês, o Argos gera um relatório que serve como evidência de accountability para a diretoria e para eventuais auditorias.
| Obrigação da LGPD | Como a segurança ajuda |
|---|---|
| Medidas técnicas e administrativas (art. 46) | Monitoramento 24h, controle de acesso e proteção do ambiente. |
| Comunicar incidentes com risco relevante | Detecção e registro permitem avaliar e comunicar no prazo. |
| Prestar contas (accountability) | Logs e relatório mensal comprovam as medidas adotadas. |
| Reduzir dano aos titulares | Resposta rápida contém o incidente antes que escale. |
Perguntas frequentes
A LGPD obriga a ter um SOC?
Não. A LGPD não exige uma ferramenta ou estrutura específica, como um SOC. O que a lei exige (art. 46) é que a empresa adote medidas técnicas e administrativas de segurança adequadas ao risco. Um SOC gerenciado é uma das formas de cumprir essa obrigação, porque entrega monitoramento, detecção e registro de incidentes, mas não é obrigatório por si só.
Preciso avisar a ANPD em todo incidente?
Não em todo caso. A comunicação à ANPD e aos titulares é exigida quando o incidente puder acarretar risco ou dano relevante aos titulares dos dados. Ainda assim, é boa prática registrar e avaliar todo incidente para poder demonstrar que a decisão foi tomada com critério.
Meus dados podem ir para fora do Brasil?
A LGPD permite a transferência internacional de dados, mas com condições — como países com nível de proteção adequado, cláusulas contratuais ou consentimento específico. Muitas empresas preferem manter os dados no Brasil para simplificar a conformidade. O Argos mantém os dados no Brasil, em data center próprio ou do próprio cliente.
Quem é o responsável pela segurança dos dados?
O controlador — a empresa que decide como e por que os dados pessoais são tratados — é o principal responsável pela segurança desses dados perante a LGPD. Ele pode contar com operadores e parceiros de segurança, mas a responsabilidade pela conformidade continua sendo dele.