Em tempos de ataques cibernéticos cada vez mais sofisticados, a forma como as organizações lidam com incidentes de segurança está sob os holofotes da Autoridade Nacional de Proteção de Dados (ANPD). Um ponto tem se destacado nas decisões da autoridade: a ausência de registros técnicos os famosos logs pode custar caro. Não basta afirmar que não houve vazamento de dados. É preciso provar.
Logs: o elo entre o incidente e a verdade
Quando uma empresa sofre um ataque, especialmente do tipo ransomware, é comum que a resposta inicial seja de aparente tranquilidade. Muitas vezes, a organização se apoia em laudos forenses que indicam “ausência de evidência de exfiltração” e, com isso, conclui que não há necessidade de notificar a ANPD.
Mas a ANPD tem deixado claro que essa lógica não se sustenta. A ausência de evidência não equivale à evidência de ausência. Se não há logs suficientes para demonstrar o que ocorreu, a autoridade pode presumir o pior cenário possível inclusive a ocorrência de vazamento.
A nova Resolução CD/ANPD nº 15/2024 e o “gatilho de comunicação”
A resolução trouxe um marco importante ao definir com mais clareza quando um incidente de segurança deve ser comunicado à ANPD e aos titulares. O conceito de “dano ou risco relevante” agora exige que estejam presentes dois critérios simultâneos:
- Potencial de afetar significativamente os direitos fundamentais do titular;
- Capacidade de causar danos materiais ou morais (como fraude, discriminação, violação de imagem ou reputação).
Esses critérios impactam diretamente a análise de logs e a avaliação de riscos, exigindo uma postura mais técnica e menos subjetiva por parte dos controladores.
A responsabilização baseada na ausência de evidência técnica
A ANPD tem reforçado que a falta de logs ou de evidências técnicas não isenta o controlador de responsabilidade. Pelo contrário, pode ser interpretada como violação do dever de diligência.
A chamada presunção de impacto ou seja, na ausência de logs, presume-se que o impacto foi significativo muda a lógica da defesa em incidentes. Isso exige que as organizações adotem uma postura proativa na guarda e análise de logs.
Adoção de logs como ferramenta de prestação de contas (accountability)
A ANPD tem incentivado o uso de logs não apenas como medida de segurança, mas como instrumento de governança e transparência. Isso se alinha com o movimento internacional de reforçar a prestação de contas como pilar da proteção de dados.
Logs devem ser tratados como ativos de compliance, e não apenas como registros técnicos. Isso abre espaço para envolver áreas como jurídico, auditoria e governança na gestão de logs.
Integração com temas emergentes da Agenda Regulatória 2025–2026
A nova agenda da ANPD inclui temas como:
- Inteligência Artificial: onde logs são essenciais para explicar decisões automatizadas;
- Dados de saúde: que exigem rastreabilidade rigorosa;
- Raspagem de dados (data scraping): onde logs podem ser a única forma de detectar abusos.
A importância dos logs será ainda mais crítica em contextos como IA e dados sensíveis, exigindo evidências técnicas robustas.
Logs como elemento de defesa em processos sancionadores
A atuação recente da ANPD mostra que logs bem estruturados podem ser a diferença entre uma sanção e uma absolvição. Eles ajudam a demonstrar diligência, limitar o escopo do incidente e justificar decisões tomadas.
Além disso, a existência de logs detalhados pode influenciar diretamente a dosimetria da sanção aplicada pela ANPD. De acordo com o art. 13, inciso II da Resolução CD/ANPD nº 4/2023 (Regulamento de Dosimetria e Aplicação de Sanções Administrativas), a adoção reiterada e demonstrada de mecanismos internos voltados ao tratamento seguro e adequado de dados, como a manutenção sistemática de logs, pode resultar em redução de até 20% no valor da multa.
Esses registros também se tornam estratégicos para comprovar medidas diligentes relacionadas à prevenção e mitigação de danos aos titulares, bem como boa-fé do controlador, conforme previsto no art. 13, III e IV deste Regulamento.
Neste sentido, manter logs robustos é crucial, tanto para amparar a defesa técnica diante de um incidente, quanto para atenuar sanções administrativas eventualmente cabíveis.
Logs não são apenas registros técnicos são instrumentos de defesa, transparência e responsabilidade. Ignorar sua importância é abrir mão da capacidade de demonstrar diligência e proteger a reputação da organização.
Se sua empresa ainda não trata logs como prioridade, talvez seja hora de rever essa estratégia. Em um cenário regulatório cada vez mais exigente, quem não registra, não se defende.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
