Advogada afirma que modelo em debate no Senado é insuficiente e pode repetir erros estruturais da política digital brasileira
O avanço do Projeto de Lei de Cibersegurança no Senado reacendeu uma discussão central para governos e empresas: como construir uma política nacional capaz de reduzir a crescente vulnerabilidade do Brasil a ataques digitais?
Na avaliação de Patricia Peck, advogada, PhD e uma das maiores especialistas do Oaís no tema, o desenho institucional proposto até agora está longe de atender à urgência do problema. “Há a percepção de que o governo está montando um ‘puxadinho de ciber’. Pelo número de ameaças, o Brasil deveria ser referência, não extensão improvisada. O Brasil não precisa de um puxadinho. Precisa de estrutura, liderança e coragem regulatória”, alertou ela em entrevista ao IT Forum.
A crítica expõe a tensão entre a ambição do texto, que é criar padrões nacionais de segurança, obrigatoriedade de reportes e um fundo dedicado ao tema, e a realidade institucional brasileira, marcada por sobreposição de competências, baixa maturidade e falta de liderança unificada.
Um dos pontos mais sensíveis do PL é o desenho do órgão responsável por coordenar a política nacional de cibersegurança. Entre as opções discutidas estão fortalecer estruturas já existentes, como a Agência Nacional de Telecomunicações (Anatel) ou o Gabinete de Segurança Institucional (GSI), ou criar uma Agência Nacional de Cibersegurança.
Para Patricia, a escolha não deveria deixar dúvidas. “O melhor cenário é uma agência nova, especializada, com foco exclusivo em cibersegurança. Qualquer alternativa é paliativa. É ‘dar um jeitinho’, mas não quer dizer que será eficiente.”
Segundo ela, a Anatel, apesar de ser uma agência madura, não tem governança adequada para atuar de forma transversal, regulando setores tão distintos quanto varejo, financeiro, energia e serviços públicos. “Além disso, existe risco real de conflito de interesses. Não vejo como ajustar isso sem comprometer a credibilidade do órgão”, afirma. Já o GSI, embora tradicionalmente ligado ao tema, não possui modelo de agência, estrutura civil técnica nem autonomia necessárias para regular empresas privadas.
Ela argumenta ainda que o entrave atual é político, não financeiro. “Adaptar uma estrutura antiga custa praticamente o mesmo que criar uma. A diferença é que a agência exclusiva nasce com foco, poder e confiança do mercado”, observa.
Outro pilar do PL é a obrigatoriedade de que empresas reportem ao governo incidentes relevantes de cibersegurança. A proposta segue tendência global, mas por aqui peca na execução, segundo a especialista. Hoje, o texto usa expressões como “materialmente relevante” e “incidente significativo”, sem definir parâmetros mínimos de impacto, volume de dados expostos ou tempo de indisponibilidade. “É uma definição muito ampla. E amplitude demais gera interpretações diferentes entre setores, tamanhos de empresas e áreas reguladas”, explica ela.
O risco, de acordo com a especialista, é duplo. Primeiro pode sobrecarregar empresas, obrigadas a relatar incidentes de baixo impacto. Segundo, afogar o governo com informações que não geram inteligência útil para resposta nacional.
Patricia, então, sugere um modelo misto, combinando critérios quantitativos, como número de usuários afetados, volume de dados vazados, horas de indisponibilidade; critérios qualitativos, que inclui sensibilidade das informações, impacto operacional, setor; e critérios de contexto, com presença em infraestrutura crítica ou risco à soberania nacional.
Segundo ela, esse formato daria clareza às empresas e permitiria ao Estado priorizar incidentes que realmente ameaçam sistemas essenciais.
Um ponto que reúne preocupação entre especialistas é o financiamento do programa, que no texto atual vincula recursos ao Fundo Nacional de Segurança Pública (FNSP) e às loterias federais.
Embora não rejeite a ideia, Patricia alerta para possibilidade de desvio. “Há risco real de desvirtuamento. Sem governança forte, o dinheiro pode migrar para segurança pública tradicional, longe das necessidades de inovação e resiliência digital.”
Para garantir foco e transparência, ela defende elementos como metas estabelecidas em lei; relatórios públicos com números de incidentes evitados e empresas beneficiadas; mecanismos de governança conjunta com o setor privado; e incentivos fiscais para organizações que investirem em cibersegurança.
Ela vai além e defende que a pauta deveria dialogar com a reforma tributária. “Há espaço para criar estímulos claros para quem investe em proteção digital. Mas isso ainda não entrou na mesa”, afirma.
Se aprovado da forma como está, o PL deverá provocar mudanças profundas na governança corporativa. E o impacto será mais severo nas pequenas e médias empresas, que já enfrentam limitações de orçamento, equipes reduzidas e baixa maturidade em segurança digital.
Patricia aponta quatro desafios imediatos: falta de estrutura técnica e jurídica para responder rapidamente; necessidade de integração entre jurídico, TI e compliance; dificuldades em manter evidências, logs e trilhas de auditoria; e aumento de custos de implementação e de resposta a incidentes.
O ponto mais estrutural, no entanto, é a exigência de uma função dedicada. “Assim como a LGPD trouxe o papel do encarregado de dados, a política de cibersegurança precisa tornar obrigatória a figura do Security Officer, seja interno ou terceirizado.”
A ausência desse papel, segundo ela, é uma das razões pelas quais o Brasil segue entre os países mais vulneráveis a ataques.
Enquanto o Brasil discute conceitos básicos, países como Argentina e Chile avançaram nos últimos anos com políticas nacionais de cibersegurança inspiradas em modelos como NIS2, da União Europeia.
Para alcançar padrões internacionais, Patricia aponta caminhos como a adoção de frameworks como NIST e normas ISO; a interoperabilidade entre CERTs setoriais; maior articulação entre segurança digital, privacidade e IA; e fortalecimento urgente da ANPD, hoje sobrecarregada e ainda sem regulamentar dispositivos essenciais da LGPD.
Os maiores desafios, no entanto, são institucionais e culturais. “A fragmentação entre órgãos públicos dificulta a definição de liderança e atrasa qualquer avanço. Falta coordenação e falta visão integrada”, alerta ela.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Editora-chefe e diretora de Conteúdo do IT Forum, Déborah Oliveira é jornalista com mais de 17 anos de experiência na área de TI. Tem passagens pelas redações da Computerworld, CIO e IDG Now!. Bacharel em Jornalismo, com graduação executiva em Marketing, e MBA em Marketing. Em 2018, foi vencedora do prêmio de melhor Jornalista de TI no Brasil, do Cecom. Em 2019 e 2020, foi destaque do mesmo prêmio na categoria Telecom. É uma das autoras do livro “Da Informática à Tecnologia da Informação – Jornalistas Contam Suas Histórias”, pela editora Reality Books, lançado em 2020.
