Como a sua empresa aprende? Esperando o próprio nome aparecer na mídia, ou usando os erros dos outros como alerta para começar hoje?

O recente levantamento da Cybernews revela mais uma evidência concreta de negligência estrutural e desconformidade em relação aos princípios de Privacy by Design e Privacy by Default. Os resultados da pesquisa não expõem apenas a falta de maturidade em segurança da informação, mas também um preocupante desrespeito à proteção da privacidade dos titulares dos dados, neste caso, milhões de usuários impactados. Fica evidente que a funcionalidade e a velocidade de lançamento dos aplicativos foram priorizadas em detrimento dos direitos fundamentais de proteção de dados pessoais.

Diversos aplicativos foram disponibilizados sem mecanismos mínimos de segurança, enquanto instâncias em nuvem permaneceram expostas e sem qualquer monitoramento adequado do ambiente de produção. Esse cenário escancara a ausência de medidas preventivas essenciais para evitar violações.

Conforme o estudo, bases Firebase e Google Cloud estavam acessíveis sem autenticação, permitindo acesso público a informações sensíveis. Além disso, 72% dos aplicativos analisados apresentavam credenciais embutidas diretamente no código-fonte, uma prática incompatível com qualquer configuração minimamente segura. Soma-se a isso o fato de que a privacidade não foi incorporada desde a fase de concepção e arquitetura desses aplicativos, resultando em sistemas construídos com riscos intrínsecos à privacidade dos usuários.

A abordagem de Privacy by Design e Privacy by Default foi formulada na década de 1990 pela então Comissária de Informação e Privacidade de Ontário, Canadá, Ann Cavoukian, e reconhecida internacionalmente em 2010 pelo Conselho Internacional de Comissários de Proteção de Dados. Muito além de uma boa prática, seus princípios foram positivados como obrigatórios no Regulamento Geral de Proteção de Dados (RGPD) e incorporados à Lei Geral de Proteção de Dados brasileira (LGPD), reforçando o caráter normativo dessas diretrizes no desenvolvimento de produtos e serviços digitais.

A exposição massiva de informações demonstra que o ciclo de vida dos dados não foi protegido de ponta a ponta, resultando em violações de confidencialidade que poderiam ter sido evitadas com programas robustos de governança, gestão de riscos e auditoria contínua. Esse evento também nos provoca a refletir sobre a real necessidade do tratamento de grandes volumes de dados. Se os princípios de minimização tivessem sido aplicados, o impacto dessa falha seria reduzido.

A desconformidade observada reforça, portanto, que empresas que ignoram práticas fundamentais de proteção de dados não apenas colocam seus usuários em risco, como comprometem a confiança no ecossistema digital como um todo e diante desse cenário, torna-se impossível ignorar a necessidade urgente de amadurecimento organizacional em segurança e privacidade. Por estas razões que a LGPD não deve ser encarada como um obstáculo operacional, o momento convida empresas de todos os portes a revisitar seus processos, identificar vulnerabilidades e iniciar uma jornada consistente rumo à conformidade.

Nem tudo é sobre má vontade, muitas vezes a dificuldade se encontra na falta de pessoas preparadas e qualificadas para gerenciar o processo de conformidade com a LGPD, é não saber por onde começar, é confiar sem verificar se o que está sendo feito realmente está correto, é equilibrar a inovação com a regulamentação e por isso a DeServ te convida para aproveitar esse momento e focar na evolução da maturidade de privacidade e proteção de dados da sua organização e no avanço do conhecimento desse universo infinito de tratamento de dados pessoais.

_______________________

Bruna Fabiane da Silva
Consultora de Conformidade LGPD da DeServ, DPO as a Service, Sócia da DeServ Academy, Gerente de Negócios em Cybersecurity, instrutora IAPP e DPO EXIN. Eleita pelo Womcy como TOP Women in CyberSecurity Américas 2023. Eleita pelo Instituto Daryus TOP20 Women to follow em 2023 e 2025. Eleita DPO Destaque 2025 pelo Café com Bytes.