Falha no Meu INSS expõe dados de segurados e reacende alerta nacional sobre proteção de informações pessoais

Um novo incidente de segurança envolvendo a plataforma Meu INSS voltou a colocar em evidência os desafios da proteção de dados no Brasil. O caso, divulgado na quinta-feira (21), foi identificado pela Dataprev e comunicado à Autoridade Nacional de Proteção de Dados (ANPD), reacendendo discussões sobre segurança da informação, governança digital e maturidade das organizações brasileiras em relação à Lei Geral de Proteção de Dados (LGPD).

Segundo informações divulgadas pelo próprio INSS, os dados expostos incluem CPF, nome completo, data de nascimento e possíveis vínculos trabalhistas de segurados da Previdência Social. Estimativas apontam que o incidente pode ter atingido até 2 milhões de registros. O órgão informou ainda que a maior parte dos dados seria relacionada a pessoas já falecidas, mas confirmou que parte dos cadastros pertence a segurados ativos.

Embora o INSS tenha afirmado que não houve concessões indevidas de benefícios nem registros de empréstimos fraudulentos relacionados ao caso até o momento, especialistas avaliam que o episódio acende um alerta importante sobre a necessidade de fortalecimento das estruturas de proteção de dados no país.

Para o CEO da Every Cybersecurity, Eduardo Nery, casos como esse precisam ser analisados menos como falhas isoladas e mais como sinais de que a proteção de dados deve ocupar papel estratégico dentro das instituições públicas e privadas.

“Vivemos um momento decisivo. A LGPD completou cinco anos de vigência plena e não pode mais ser tratada como um projeto pontual de compliance. Ela precisa ser entendida como um pilar de governança, no mesmo nível de importância do compliance financeiro ou tributário”, afirma.

Segundo Eduardo Nery, incidentes de segurança podem ocorrer até mesmo em organizações consideradas maduras digitalmente. O diferencial está justamente na capacidade de resposta, na transparência e na preparação das instituições diante das ocorrências.

“Incidentes acontecem, inclusive nas organizações mais maduras do mundo. O que diferencia uma estrutura preparada de uma vulnerável é a velocidade de detecção, a transparência na comunicação com a ANPD e com os titulares, além da capacidade de aprender com cada ocorrência. Nesse sentido, a comunicação tempestiva à autoridade é o caminho correto previsto no artigo 48 da LGPD”, explica.

O especialista destaca ainda que o episódio precisa servir de alerta para todos os controladores de dados do país, independentemente do segmento de atuação.

“O recado precisa chegar a todos os controladores de dados do Brasil: órgãos públicos, hospitais, bancos, varejistas, fintechs e startups. Quem trata dado pessoal é fiduciário de uma confiança que o cidadão deposita. Isso exige investimento em GRC, em cibersegurança técnica e em cultura organizacional. Não existe atalho.”

O caso também reacende discussões sobre a recorrência de incidentes envolvendo grandes bases de dados no Brasil. Nos últimos anos, diferentes vazamentos atingiram órgãos públicos, empresas privadas, instituições financeiras e plataformas digitais, ampliando preocupações sobre golpes, fraudes e utilização indevida de informações pessoais de cidadãos.

Para Eduardo Nery, apesar dos desafios, o Brasil já possui hoje um ambiente regulatório robusto e um mercado cada vez mais preparado para apoiar organizações no fortalecimento da segurança digital.

“A boa notícia é que o Brasil tem hoje um arcabouço normativo sólido, uma ANPD atuante e um mercado de cibersegurança cada vez mais qualificado. Cabe às organizações enxergarem a proteção de dados como diferencial competitivo e compromisso com a sociedade, e não apenas como custo regulatório.”

Com sede em Brasília e escritório no Rio de Janeiro, a Every Cybersecurity atua há 12 anos no mercado nacional, sendo especializada em LGPD, Governança, Riscos e Compliance (GRC) e segurança da informação. A empresa possui certificações ISO 27001 e ISO 27701 e atende órgãos públicos e empresas privadas em todo o país.

“Nosso papel, como empresa especializada, é contribuir para que esse amadurecimento aconteça. Quanto mais instituições brasileiras tratarem LGPD e cibersegurança como prioridade estratégica, mais protegido estará o cidadão — e esse é o objetivo que precisa unir todo o ecossistema”, conclui Eduardo Nery.

Sobre a Every Cybersecurity

A Every Cybersecurity é uma empresa brasileira especializada em LGPD, Governança, Riscos e Compliance (GRC) e segurança da informação. Com sede em Brasília e escritório no Rio de Janeiro, a empresa apoia organizações públicas e privadas na construção de programas robustos de proteção de dados, gestão de riscos cibernéticos e conformidade regulatória. A Every possui certificações ISO 27001 e ISO 27701 e selo GPTW.