Segurança da Informação e LGPD: O Que o Art. 46 Exige na Prática
O Art. 46 da LGPD estabelece que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." É, ao mesmo tempo, a obrigação mais importante e a mais vaga da lei — exige medidas de segurança sem definir quais.
Essa vagueza é intencional: o §1º do Art. 46 prevê que a ANPD poderá dispor sobre padrões técnicos mínimos, considerando "a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia". Enquanto a regulamentação definitiva não chega, a obrigação já existe — e a ANPD já fiscaliza com base no Art. 46.
Este guia traduz a exigência legal em medidas práticas, organizadas por tipo e por nível de maturidade.
O que o Art. 46 realmente exige
O artigo tem três partes essenciais:
Art. 46, caput: obrigação geral de adotar medidas de segurança técnicas e administrativas para proteger dados pessoais.
Art. 46, §1º: a ANPD pode definir padrões técnicos mínimos, considerando natureza dos dados, características do tratamento e estado da tecnologia.
Art. 46, §2º: as medidas de segurança devem ser observadas "desde a fase de concepção do produto ou do serviço até a sua execução" — o chamado security by design, análogo ao privacy by design do Art. 46, §2º.
O Art. 47 complementa: agentes de tratamento e qualquer pessoa que intervenha no tratamento devem garantir a segurança da informação — inclusive após o término do tratamento.
O Art. 48 estabelece a obrigação de comunicar incidentes de segurança à ANPD e aos titulares quando puderem acarretar risco ou dano relevante.
O Art. 49 reforça que sistemas de tratamento devem ser estruturados para atender requisitos de segurança e padrões de boas práticas, considerando "a natureza dos dados pessoais e os riscos que o tratamento vai oferecer".
Normas de referência: o piso técnico
A LGPD não cita normas específicas, mas a ANPD e a prática de mercado apontam para um conjunto de referências consolidadas:
ISO/IEC 27001 — Gestão de Segurança da Informação
A norma internacional mais reconhecida para Sistemas de Gestão de Segurança da Informação (SGSI). Define requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Contém o Anexo A com 93 controles organizados em 4 temas (organizacionais, pessoas, físicos e tecnológicos).
Relevância para a LGPD: a ISO 27001 fornece a estrutura de gestão. Uma organização certificada ISO 27001 tem uma base sólida para conformidade com o Art. 46 — mas a certificação não é obrigatória.
ISO/IEC 27701 — Gestão de Privacidade da Informação
Extensão da ISO 27001 especificamente para privacidade. Define requisitos adicionais para um Sistema de Gestão de Privacidade da Informação (SGPI) e fornece orientações sobre proteção de dados pessoais.
Relevância para a LGPD: a ISO 27701 é o mais próximo que existe de um padrão técnico para conformidade com legislações de proteção de dados. Mapeia controles específicos para controladores e operadores.
NIST Cybersecurity Framework (CSF)
Framework do National Institute of Standards and Technology (EUA), amplamente utilizado no Brasil por empresas de tecnologia e instituições financeiras. Organiza controles em 6 funções: Governar, Identificar, Proteger, Detectar, Responder e Recuperar.
CIS Controls
Os 18 controles do Center for Internet Security são uma abordagem prática e prioritizada. Os primeiros 6 controles ("CIS Implementation Group 1") são considerados o mínimo para qualquer organização.
Guia Orientativo da ANPD sobre Segurança da Informação
A ANPD publicou em outubro de 2021 o "Guia Orientativo — Segurança da Informação para Agentes de Tratamento de Pequeno Porte". Embora direcionado a pequenas organizações, o guia indica as medidas que a ANPD considera essenciais — e serve de parâmetro para fiscalizações.
O guia inclui recomendações sobre:
- Política de segurança da informação
- Gerenciamento de contratos
- Controle de acesso e autenticação
- Segurança de dados armazenados
- Gerenciamento de vulnerabilidades
- Dispositivos móveis
- Serviços em nuvem
Medidas técnicas: o que implementar
Criptografia
Em trânsito: toda comunicação que envolva dados pessoais deve usar TLS 1.2 ou superior. Isso se aplica a sites (HTTPS), APIs, e-mail corporativo e transmissão de arquivos.
Em repouso: dados pessoais armazenados em bancos de dados, backups e dispositivos móveis devem ser criptografados. AES-256 é o padrão recomendado.
Nível de exigência por tipo de dado:
| Tipo de dado | Criptografia em trânsito | Criptografia em repouso |
|---|---|---|
| Dados básicos (nome, e-mail) | Obrigatório (TLS) | Recomendado |
| Dados financeiros (cartão, conta) | Obrigatório (TLS 1.2+) | Obrigatório |
| Dados sensíveis (saúde, biometria) | Obrigatório (TLS 1.2+) | Obrigatório |
| Dados de larga escala | Obrigatório (TLS 1.2+) | Obrigatório |
Controle de acesso
O princípio do menor privilégio é fundamental: cada usuário deve ter acesso apenas aos dados necessários para sua função.
Medidas essenciais:
- Autenticação multifator (MFA) para acesso a sistemas com dados pessoais
- Senhas com política de complexidade mínima (12+ caracteres, combinação de tipos)
- Revisão periódica de acessos (a cada 90 dias, no mínimo)
- Revogação imediata de acesso ao desligar funcionário
- Segregação de ambientes (desenvolvimento, homologação, produção)
- Contas de serviço com privilégios mínimos
Logging e monitoramento
Todo acesso a dados pessoais deve ser registrado em log de auditoria:
- Quem acessou (identificação do usuário)
- O que acessou (qual dado ou registro)
- Quando acessou (data e hora, com timezone)
- De onde acessou (IP, dispositivo)
- Que ação realizou (leitura, criação, alteração, exclusão)
Os logs devem ser protegidos contra alteração (imutabilidade) e retidos por período suficiente para investigação de incidentes (mínimo recomendado: 12 meses).
Backup e recuperação
- Backup regular dos dados pessoais (diário para sistemas críticos)
- Armazenamento em local separado do ambiente de produção (regra 3-2-1: 3 cópias, 2 mídias, 1 offsite)
- Teste periódico de restauração (backup que não foi testado não é backup)
- Criptografia dos backups
Gestão de vulnerabilidades
- Atualização regular de sistemas operacionais, bibliotecas e frameworks (patching)
- Varredura de vulnerabilidades periódica (mensal, no mínimo)
- Pentest anual para sistemas críticos que tratam dados sensíveis ou de larga escala
- Gestão de dependências (monitorar vulnerabilidades em bibliotecas de terceiros)
Segurança de rede
- Firewall configurado com regra deny-by-default
- Segmentação de rede (sistemas com dados pessoais em segmento isolado)
- Proteção contra malware (antivírus/EDR) em todos os endpoints
- VPN para acesso remoto a sistemas com dados pessoais
Medidas administrativas: governança e processos
Medidas técnicas sem governança são insuficientes. O Art. 46 exige medidas "técnicas e administrativas" — as duas são complementares.
Política de segurança da informação
Documento que define as diretrizes de segurança da organização. Deve cobrir, no mínimo:
- Classificação da informação (pública, interna, confidencial, restrita)
- Controle de acesso (quem pode acessar o quê)
- Uso aceitável de recursos de TI
- Gestão de incidentes
- Backup e recuperação
- Segurança física
- Uso de dispositivos pessoais (BYOD)
- Trabalho remoto
Gestão de incidentes
Procedimento documentado para responder a incidentes de segurança:
- Detecção e triagem inicial
- Contenção (limitar o dano)
- Erradicação (eliminar a causa)
- Recuperação (restaurar operação normal)
- Comunicação (ANPD em até 3 dias úteis + titulares, conforme Resolução CD/ANPD nº 15/2024)
- Análise pós-incidente (lições aprendidas)
Treinamento e conscientização
- Treinamento anual sobre segurança da informação para todos os funcionários
- Treinamento específico sobre proteção de dados para equipes que tratam dados pessoais
- Simulações de phishing (para medir efetividade do treinamento)
- Onboarding com módulo de segurança e privacidade
Gestão de fornecedores
O Art. 46 se aplica também aos operadores (terceiros que tratam dados em nome do controlador):
- Avaliação de segurança de fornecedores antes da contratação (due diligence)
- Cláusulas contratuais de segurança e proteção de dados (DPA)
- Monitoramento periódico de fornecedores críticos
- Direito de auditoria contratualmente previsto
Gestão de ativos
- Inventário de ativos que tratam dados pessoais (sistemas, servidores, dispositivos)
- Classificação de ativos por criticidade
- Procedimento de descarte seguro (sanitização de discos, destruição de documentos)
- Controle de dispositivos móveis e portáteis
O que a ANPD verifica nas fiscalizações
Com base nos casos sancionados e nas ações de fiscalização da ANPD realizadas até 2025, os pontos mais verificados são:
Itens que geraram sanções
-
Ausência de comunicação de incidente — o INSS foi sancionado em 2024 por não comunicar um incidente de segurança ocorrido em 2022 aos titulares afetados.
-
Falta de medidas técnicas básicas — a Telekall Inforservice foi a primeira empresa multada pela ANPD, em 2023, por ausência de medidas de segurança adequadas.
-
Ausência de registro de operações de tratamento — a SEEDF (Secretaria de Educação do DF) recebeu advertências por manutenção inadequada de registros.
-
Falta de RIPD quando solicitado — a ANPD sancionou órgãos que não elaboraram RIPD quando requisitado.
Padrão de verificação da ANPD
Com base nos casos e nos guias orientativos, a ANPD espera encontrar, no mínimo:
- Política de segurança da informação documentada
- Controles de acesso implementados (não apenas planejados)
- Logs de acesso a dados pessoais
- Procedimento de resposta a incidentes
- Comunicação tempestiva de incidentes (3 dias úteis)
- DPO nomeado e publicado
- RIPD para tratamentos de alto risco
Security by Design e Security by Default
O Art. 46, §2º estabelece que as medidas de segurança devem ser observadas "desde a fase de concepção do produto ou do serviço". Isso é security by design — a segurança não é um patch aplicado depois, mas um requisito incorporado desde o início.
Na prática, isso significa:
Para novos sistemas:
- Requisitos de segurança na especificação (antes do desenvolvimento)
- Modelagem de ameaças (threat modeling) no design
- Revisão de código com foco em segurança (OWASP Top 10)
- Testes de segurança antes de ir para produção
Para novos processos de negócio:
- Avaliação de risco de privacidade antes de implementar
- Definição de controles de segurança na fase de desenho
- Princípio do menor privilégio desde o início
- Documentação de decisões de segurança
Security by default:
- Configurações padrão são as mais restritivas (opt-in, não opt-out)
- Dados pessoais não são acessíveis por padrão — acesso deve ser concedido
- Novos usuários começam com permissões mínimas
- Funcionalidades de rastreamento/coleta são desativadas por padrão
Tabela: nível de segurança por tipo de tratamento
| Cenário | Nível | Medidas obrigatórias | Medidas recomendadas |
|---|---|---|---|
| Dados básicos, baixo volume | Básico | TLS, controle de acesso, backup, política de segurança | MFA, logging, pentest eventual |
| Dados básicos, alto volume | Intermediário | Tudo do básico + MFA, logging, gestão de vulnerabilidades | Pentest anual, SOC/SIEM, DLP |
| Dados sensíveis | Alto | Tudo do intermediário + criptografia em repouso, RIPD, pentest anual | SOC 24/7, DLP, classificação automática |
| Dados sensíveis em larga escala | Máximo | Tudo do alto + SOC/SIEM, DLP, pentest semestral, segmentação de rede | Certificação ISO 27001, bug bounty |
| IA com dados pessoais | Máximo | Tudo do máximo + controles específicos de IA (explicabilidade, viés), RIPD específico | Sandboxing, auditoria de modelos |
Evidências de segurança para auditoria
Implementar medidas de segurança não basta — é preciso demonstrar que elas existem e funcionam. Para a ANPD e para auditorias internas, a organização deve manter:
Documentos obrigatórios
- Política de segurança da informação (aprovada pela alta direção, com data)
- Inventário de ativos e dados pessoais
- Registro de tratamento de dados (ROPA)
- RIPD para tratamentos de alto risco
- Procedimento de resposta a incidentes
- Contratos com operadores incluindo cláusulas de segurança
Registros operacionais
- Logs de acesso a sistemas com dados pessoais
- Registros de concessão e revogação de acesso
- Evidências de treinamento (listas de presença, certificados)
- Relatórios de varredura de vulnerabilidades
- Relatórios de pentest (com evidência de remediação)
- Registros de backup e testes de restauração
- Registros de incidentes (mesmo os que não precisaram de comunicação à ANPD)
Métricas
- Tempo médio de aplicação de patches críticos
- Percentual de funcionários treinados em segurança
- Tempo médio de detecção e resposta a incidentes
- Número de vulnerabilidades abertas vs. remediadas
- Cobertura de MFA nos sistemas críticos
Quando contratar pentest
Pentest (teste de penetração) é a simulação controlada de um ataque para identificar vulnerabilidades. A LGPD não exige pentest explicitamente, mas é a forma mais efetiva de validar que as medidas de segurança funcionam na prática.
Quando é necessário
- Dados sensíveis em larga escala: hospitais, laboratórios, planos de saúde — pentest anual, no mínimo
- Aplicações expostas à internet: e-commerce, portais de clientes, apps — pentest a cada release significativo ou anualmente
- Após incidente de segurança: para identificar vetores de ataque e garantir que a remediação foi eficaz
- Antes de lançamento: novos produtos ou sistemas que tratam dados pessoais
Tipos
- Black box: o testador não tem informação prévia sobre o sistema (simula atacante externo)
- Gray box: o testador tem acesso parcial (simula funcionário ou parceiro com acesso limitado)
- White box: o testador tem acesso completo ao código e infraestrutura (análise mais profunda)
Para fins de LGPD, o gray box é geralmente o mais adequado — simula o risco mais provável (insider ou atacante com credenciais comprometidas).
Checklist de segurança para conformidade LGPD
Medidas técnicas
- Criptografia em trânsito (TLS 1.2+) para todos os sistemas com dados pessoais
- Criptografia em repouso para dados sensíveis e financeiros
- Autenticação multifator (MFA) para acesso a sistemas críticos
- Política de senhas robusta (12+ caracteres, complexidade, expiração)
- Controle de acesso baseado em função (RBAC) implementado
- Logs de acesso a dados pessoais ativos e protegidos
- Backup regular com teste periódico de restauração
- Firewall e segmentação de rede
- Proteção contra malware em todos os endpoints
- Gestão de vulnerabilidades e patching regular
- VPN para acesso remoto
Medidas administrativas
- Política de segurança da informação documentada e aprovada
- Procedimento de resposta a incidentes documentado e testado
- Treinamento anual de segurança para todos os funcionários
- Gestão de fornecedores com avaliação de segurança
- Inventário de ativos que tratam dados pessoais
- Procedimento de descarte seguro de dados e equipamentos
- Revisão periódica de acessos (trimestral)
- Política de uso aceitável de recursos de TI
- Programa de conscientização contínuo
Evidências e governança
- Registros de treinamento mantidos
- Relatórios de vulnerabilidade e pentest arquivados
- Logs de incidentes mantidos (mesmo menores)
- Métricas de segurança reportadas à alta direção
- RIPD atualizado para tratamentos de alto risco
- Contratos com operadores incluindo cláusulas de segurança e DPA
Conclusão
O Art. 46 da LGPD não é uma lista de requisitos — é um princípio que exige adequação ao contexto. Uma startup com 10 funcionários que trata dados básicos de clientes não precisa de um SOC 24/7. Um hospital que trata dados de saúde de milhões de pacientes não pode se contentar com antivírus e backup semanal.
O piso mínimo para qualquer organização — independente de porte ou setor — é: criptografia em trânsito, controle de acesso com senhas robustas, backup regular, política de segurança documentada, procedimento de resposta a incidentes e treinamento da equipe. A partir daí, o nível de segurança deve ser proporcional ao risco — e esse é o critério que a ANPD aplica nas fiscalizações.
A Confidata oferece funcionalidades que auxiliam na conformidade com o Art. 46: inventário de dados com classificação por sensibilidade, registro de medidas de segurança por atividade de tratamento, gestão de incidentes com prazos da Resolução ANPD nº 15/2024 e RIPD com avaliação de risco integrada — documentando as evidências que a ANPD espera encontrar.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.