Hacker ou insider? O risco interno provocado por colaboradores
Ainda que as circunstâncias possam variar entre vazamentos intencionais ou decorrentes de descuido e negligência, há de se reconhecer um ponto em comum: a vulnerabilidade muitas vezes reside menos na tecnologia e mais na forma como as pessoas interagem com ela.
Nos últimos anos, tornou-se comum associar vazamentos de dados a ataques cibernéticos sofisticados, conduzidos por agentes externos altamente especializados. Essa narrativa, embora ainda relevante, obscurece um risco cada vez mais presente e, em muitos casos, mais provável nas organizações: o vazamento que começa de dentro.
Não são raras as situações em que colaboradores, no exercício de suas funções, transferem bases de dados corporativas para terceiros, utilizam e-mails pessoais para encaminhar informações sensíveis ou encaminham documentos sigilosos para o destinatário errado. Em muitos casos, essas condutas não decorrem de má-fé, mas de desconhecimento, descuido ou pressão por agilidade. Ainda assim, seus efeitos podem ser significativos para a empresa e até mesmo para o próprio empregado.
O problema ganha contornos mais sensíveis quando essas bases incluem dados pessoais de clientes, fornecedores ou parceiros comerciais. Nessas hipóteses, a transferência indevida pode configurar violação à Lei Geral de Proteção de Dados (LGPD), especialmente quando realizada sem uma base legal válida ou fora das finalidades previamente informadas ao titular. O que, à primeira vista, poderia parecer apenas um desvio interno, pode rapidamente se transformar em um incidente de segurança com repercussões jurídicas relevantes.
Do ponto de vista das relações de trabalho, a depender da gravidade e das circunstâncias, a conduta pode ensejar a rescisão por justa causa, sobretudo quando caracterizada quebra de confiança ou violação de deveres de confidencialidade. No entanto, limitar a análise a esse aspecto é tentar reduzir a relevância de uma problemática estrutural a uma consequência individual.
Para além da esfera trabalhista, o vazamento de dados pessoais expõe empresas a riscos regulatórios e reputacionais, incluindo a possibilidade de sanções pela Agência Nacional de Proteção de Dados, além de potenciais responsabilizações civis. Em setores como infraestrutura, logística e energia, onde a circulação de dados (não somente pessoais, mas também estratégicos e operacionais) é intensa, os impactos podem se estender à própria continuidade dos negócios.
Há ainda uma dimensão frequentemente subestimada: a contratual. Em um ambiente empresarial cada vez mais orientado por práticas de governança e compliance, falhas na proteção de dados podem comprometer relações comerciais, especialmente em contextos B2B. Processos de vendor due diligence têm incorporado, de forma crescente, critérios relacionados à segurança da informação e à conformidade com a legislação em vigor. Um incidente interno, portanto, pode não apenas gerar sanções, mas também inviabilizar parcerias e oportunidades de negócio.
Um caso relativamente recente ilustra com clareza o potencial risco decorrente da atuação de colaboradores no tratamento de dados pessoais. O vazamento envolvendo clientes da BMW Brasil, reportado no final de 2024, expôs informações sensíveis de aproximadamente 15 mil consumidores de alto padrão, incluindo dados de compradores em Brasília. Entre os dados comprometidos estavam nome, CPF, e-mail, endereço e, em situações mais graves, informações sobre renda mensal e capacidade financeira, com a classificação de alguns titulares como multimilionários. Investigações indicaram que o acesso indevido pode ter sido viabilizado por falhas sistêmicas que teriam permitido a vendedores acesso massivo a dados de clientes fora de sua carteira. Nesse contexto, há indícios de que um colaborador teria extraído e comercializado tais informações para terceiros (como corretores de imóveis), inclusive realizando segmentação por perfil econômico.
O episódio evidencia, de forma concreta, como vulnerabilidades técnicas combinadas, no caso, à má conduta de agentes internos podem resultar em incidentes de segurança, reforçando a necessidade de controles rigorosos de acesso, governança de dados e políticas de prevenção ao que se denomina como “insider threats”.
Fato é que, ainda que as circunstâncias possam variar entre vazamentos intencionais ou decorrentes de descuido e negligência, há de se reconhecer um ponto em comum: a vulnerabilidade muitas vezes reside menos na tecnologia e mais na forma como as pessoas interagem com ela.
Esse cenário revela uma mudança importante na forma como o tema deve ser tratado pelas organizações. Costuma-se dizer que o fator humano é o “elo mais frágil” na cadeia da segurança cibernética. E que a segurança cibernética de uma organização é tão forte quanto seu elo mais frágil. Isso implica reconhecer que políticas internas, treinamentos contínuos e controles de acesso não são medidas acessórias, mas componentes essenciais de uma estratégia eficaz. Mais do que isso, exige o desenvolvimento de uma cultura organizacional em que o uso responsável da informação seja incorporado à rotina dos colaboradores.
Ao final, a principal lição é simples, embora frequentemente negligenciada: o maior risco para os dados de uma empresa pode não estar fora de seus sistemas, mas dentro de sua própria estrutura. Ignorar essa realidade é, em última análise, comprometer não apenas a conformidade jurídica, mas a própria sustentabilidade do negócio.
Roberta Lopes da Cruz Antonio escreve quinzenalmente para o BE News. Seus textos são publicados às quartas-feiras.
