Por Julio Signorini*
Legislação e regulamentação em cibersegurança: quando o código encontra o código… legal
Se você pensava que entender criptografia era complicado, espere até tentar decifrar o universo das legislações de cibersegurança. Como diria aquele seu amigo CISO depois de doze garrafas de cerveja: “As leis são como firewalls jurídicos — ninguém sabe exatamente como funcionam, mas ai de você se tentar burlá-las!”
Em pleno 2025, onde foguete finalmente dá ré, o panorama regulatório da cibersegurança parece saído de um filme de ficção científica escrito por um comitê de burocratas entusiasmados. Por um lado, temos um ciberespaço sem fronteiras; por outro, um mosaico global de leis com jurisdições tão bem definidas quanto as linhas de um Picasso. Como conciliar isso?
O zoológico das siglas: GDPR, LGPD, CCPA e outras criaturas legislativas
O GDPR europeu (General Data Protection Regulation) foi o primogênito dos marcos regulatórios modernos de proteção de dados — aquele filho superprotegido que todos os outros países resolveram imitar, cada um à sua maneira. Com suas multas que podem chegar a 4% do faturamento global de uma empresa, ele transformou executivos despreocupados em neuróticos compulsivos por consentimento de cookies.
No Brasil, a LGPD (Lei Geral de Proteção de Dados) chegou como aquele primo do interior que se muda para a capital: claramente inspirada no parente europeu, mas com um jeitinho brasileiro. Já a CCPA (California Consumer Privacy Act), dos Estados Unidos, é como aquele americano que passou férias na Europa, voltou usando boina e fingindo que sempre se importou com privacidade.
A verdade é que, como bem observou o monstro Lawrence Lessig, “o código é a lei” — mas agora a lei também está tentando ser o código, criando um paradoxo regulatório que faria Erwin Schrödinger repensar sua carreira.
Brasil também tem plano, tá? A Política Nacional de Cibersegurança
Não querendo ficar para trás na festa regulatória global, o Brasil também botou o bloco na rua com sua Política Nacional de Cibersegurança (PNCiber) e a Estratégia Nacional de Cibersegurança (E-Ciber). Mesmo chegando um pouco atrasado na festa, mas traz uma garrafa de vinho bom para compensar.
A PNCiber, instituída pelo Decreto Nº 10.222 de 2020, é aquele documento corporativo que todos dizem ter lido, mas poucos realmente abriram. Já a E-Ciber é o planejamento para os próximos dez anos – um horizonte tão distante no mundo cibernético que é como planejar uma viagem interplanetária usando um mapa-múndi de papel.
O Gabinete de Segurança Institucional da Presidência da República (GSI) lidera esses esforços tentando coordenar uma orquestra onde alguns músicos ainda estão aprendendo a tocar seus instrumentos, outros estão improvisando jazz, e um ou outro ocasionalmente toca o hino nacional de outro país.
A E-Ciber estabelece dez ações estratégicas, incluindo o fortalecimento da governança de segurança cibernética nacional – que é basicamente tentar convencer diversas entidades governamentais a pararem de criar seus próprios padrões de segurança como se fossem receitas de família.
Um dos aspectos mais interessantes é a proposta de criar um plano nacional de certificação em segurança cibernética. É como instaurar um sistema nacional de graduação para karatê digital: “Parabéns, você acaba de receber sua faixa verde-amarela em detecção de phishing! Agora pode tentar a faixa azul em resposta a incidentes.”
O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) atua como o pronto-socorro do governo digital brasileiro. É quem você aciona quando alguém hackeou o sistema e está tentando transferir o orçamento nacional para uma conta em um paraíso fiscal.
No fim das contas, a iniciativa brasileira representa um passo importante, ainda que com aquele timing característico de quem chega na festa quando o bolo já foi cortado. Mas como dizem os especialistas em segurança: melhor tarde do que Pwned.
Compliance: o novo esporte radical corporativo
“Você já está em compliance?” tornou-se a nova pergunta capciosa em reuniões executivas, substituindo o clássico “Você leu o relatório que enviei?”. A resposta geralmente é um sorriso nervoso seguido de um “estamos trabalhando nisso” — tradução: “contratamos um consultor caríssimo que também não entende tudo, mas tem slides maneiros”.
O caso da British Airways é emblemático: uma multa de £20 milhões imposta pelo ICO (Information Commissioner’s Office) britânico após um ataque que comprometeu dados de aproximadamente 400.000 clientes. O valor foi considerado um “desconto pandêmico”, já que a multa inicial seria de £183 milhões. Aparentemente, até na aplicação de penalidades, timing é tudo.
A equação é simples: [(Quantidade de dados × Gravidade da violação) ÷ Medidas de proteção] × Humor do regulador = Tamanho da multa.
Quando diferentes países não conseguem concordar sobre nada… exceto que discordam
A harmonização internacional das leis de cibersegurança lembra uma tentativa de fazer todos os países concordarem sobre qual lado da estrada dirigir: teoricamente possível, praticamente improvável.
O chamado “efeito Bruxelas”, como denominado por Anu Bradford, mostra como a UE se tornou o regulador de fato do ciberespaço global. Quando o bloco europeu espirra uma nova regulamentação, o mundo inteiro pega um resfriado regulatório.
Enquanto isso, a China construiu seu “Grande Firewall”, uma abordagem que mistura proteção de dados com controle de conteúdo. Já os EUA seguem com sua colcha de retalhos regulatória, onde cada estado parece determinado a criar sua própria interpretação do que significa “privacidade” — como se cinquenta sabores de baunilha ainda fossem baunilha.
A dança desajeitada entre inovação e regulação
Uma constatação: Legisladores e reguladores estão sempre alguns passos atrás das inovações tecnológicas, numa versão jurídica de “gato e rato” onde o gato está usando botas e o rato tem um foguete nas costas.
Cito mais uma vez o especialista Bruce Schneier: “A segurança não é um produto, mas um processo”. O mesmo vale para a regulação: não é um documento estático, mas um organismo vivo que precisa evoluir continuamente. O problema é que processos legislativos se movem na velocidade de dados trafegados em conexão discada, já as ameaças cibernéticas avançam na velocidade do 6G.
O caso do ransomware NotPetya de 2017 expôs uma falha regulatória crítica: quando a empresa Mondelēz International tentou acionar seu seguro para cobrir quase US$ 100 milhões em prejuízos, a seguradora negou o pagamento alegando que o ataque era um “ato de guerra” – não coberto pela apólice. Quem poderia imaginar que seria necessário definir juridicamente a diferença entre um “ataque cibernético comum” e uma “guerra cibernética”?
Sandboxes regulatórias: o playground dos adultos
Para reduzir a fricção entre inovação e regulação, vários países têm adotado as chamadas “sandboxes regulatórias” – ambientes controlados onde empresas podem testar novos produtos e serviços sob supervisão, mas com flexibilidade regulatória.
É como deixar seu catarrento brincar na areia do parquinho – ele pode fazer o que quiser, desde que não jogue areia nos outros e permaneça dentro dos limites. E, assim como no parquinho, sempre há um adulto (o regulador) observando atentamente, pronto para intervir se alguém começar a comer areia.
O Reino Unido foi pioneiro nesta abordagem com o programa da FCA (Financial Conduct Authority), rapidamente adaptado para o campo da cibersegurança por vários países. A Estônia, aquele pequeno país báltico que parece determinado a se tornar um Wakanda digital, tem sido particularmente bem-sucedida em equilibrar inovação e regulação.
Certificações: os crachás de escoteiro do mundo corporativo
ISO 27001, SOC 2, NIST Cybersecurity Framework – o mundo das certificações de segurança é tão vasto quanto confuso. As certificações funcionam como um proxy de confiança num mundo digital que carece dela. São os “selos de qualidade” da era digital. Como disse o ex-hacker que virou consultor, Kevin Mitnick: “As empresas gastam milhões em firewalls, criptografia e dispositivos de autenticação segura, e é dinheiro jogado fora, porque nenhuma dessas medidas aborda a fraqueza mais fraca do elo.”
O curioso é que o compliance regulatório muitas vezes força as organizações a adotarem práticas de segurança que deveriam implementar de qualquer forma por puro bom senso. É como se precisássemos de uma lei que obrigasse as pessoas a fecharem a porta de casa ao sair – o que, pensando bem, talvez precisemos mesmo.
O futuro: regulação algorítmica ou algoritmos regulados?
À medida que avançamos para um futuro onde sistemas autônomos e inteligência artificial tomam cada vez mais decisões, surge um novo dilema: devemos usar algoritmos para regular ou regular os algoritmos?
A União Europeia, sempre à frente nas dores de cabeça regulatórias, já deu passos nesta direção com sua proposta de Regulamento de IA, classificando sistemas de inteligência artificial em categorias de risco. É essencialmente um sistema de classificação indicativa para algoritmos – “este algoritmo contém cenas de decisões automatizadas, prejudiciais a menores de 18 anos”.
Lawrence Lessig previu, em seu seminal “Code and Other Laws of Cyberspace”, que o código se tornaria uma forma de lei. O que ele talvez não tenha previsto é que o inverso também ocorreria: a lei está se tornando código, com regras cada vez mais específicas sobre como os sistemas digitais devem funcionar.
Conclusão: por que a lei importa (mesmo quando é chata)
Ao final do dia, regulamentações de cibersegurança são como o sistema de esgoto de uma cidade moderna: ninguém fica empolgado falando sobre isso em festas, mas todos ficam muito infelizes quando não funciona direito.
A cibersegurança sem regulamentação seria como trânsito sem regras – teoricamente mais rápido, na prática um caos total. As regulamentações estabelecem uma linguagem comum, definem responsabilidades claras e, principalmente, criam consequências para comportamentos negligentes.
Como bem observou o juiz Louis Brandeis há quase um século: “A luz do sol é o melhor desinfetante” – e as leis de notificação obrigatória de vazamentos são o equivalente a forçar empresas a abrir as cortinas e mostrar suas falhas de segurança.
Sim, navegar pelo labirinto regulatório global é complexo e, às vezes, frustrante. Mas a alternativa – um faroeste digital sem lei – seria muito pior. Até porque, como diria seu mesmo amigo CISO após a vigésima cerveja: “As leis são como antivírus – é melhor tê-las e reclamar das atualizações do que ficar completamente vulnerável.”
*Júlio Signorini é CISO na Secretaria de Gestão e Governo Digital (SGGD) do Governo do Estado de São Paulo, com mais de 17 anos de experiência como executivo de TI, liderando projetos de inovação, transformação digital, gestão estratégica, cibersegurança e ESG.
