LGPD e Pentest: Como Testes de Invasão Garantem Sua Conformidade
LGPD e Pentest: Como Testes de Invasão Garantem Sua Conformidade
A LGPD (Lei nº 13.709/2018) não é uma lei de TI. É uma lei de negócios com dentes reais — multas de até 2% do faturamento bruto, limitadas a R$ 50 milhões por infração, e notificação obrigatória à ANPD e aos titulares em caso de incidente.
O maior equívoco das empresas: tratar LGPD como uma lista de documentos (Política de Privacidade, DPA, ROPA). Conformidade técnica real exige evidência de que a segurança dos dados foi testada.
É aqui que entra o pentest.
O Que a LGPD Exige Tecnicamente
Artigo 46 — Segurança e Sigilo de Dados
“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Esse artigo não especifica quais medidas. A ANPD interpreta que medidas técnicas devem ser proporcionais ao risco do processamento. Para empresas que tratam dados financeiros, de saúde, ou de crianças — o nível de exigência é mais alto.
Pentest é uma das poucas medidas técnicas que você consegue documentar e apresentar como evidência.
Artigo 48 — Notificação de Incidente
“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Prazo: 2 dias úteis após o conhecimento do incidente.
O ponto crítico: se acontecer um incidente e você não tiver pentest documentado, a ANPD vai questionar se você tomou as medidas técnicas adequadas. A resposta ”instalamos um WAF e temos firewall” não é suficiente.
Artigo 47 — Sigilo por Agentes de Tratamento
Prevê responsabilização de controladores e operadores que traterem dados pessoais de forma inadequada.
Como o Pentest se Encaixa na Conformidade LGPD
1. Documenta Diligência Técnica
Um relatório de pentest é evidência de que você ativamente buscou vulnerabilidades que poderiam causar acesso não autorizado a dados pessoais.
Em caso de incidente + investigação da ANPD:
Com pentest documentado: ”Realizamos teste de invasão em [data], encontramos [X vulnerabilidades], remediamos [Y], e realizamos reteste em [data]. O vetor do incidente não estava no escopo testado.” — demonstra boa-fé técnica.
Sem pentest: ”O sistema passou por um WAF e tínhamos senha forte.” — exposição máxima.
2. Encontra Vulnerabilidades Específicas de LGPD
Algumas vulnerabilidades têm impacto direto sobre dados pessoais:
IDOR em APIs de usuario/cliente → Expõe PII de outros titulares. Uma das violações mais comuns e mais críticas sob a LGPD.
GET /api/v1/clientes/1234/dados-pessoais
Authorization: Bearer TOKEN_CLIENTE_5678
→ Retorna nome, CPF, endereço, email de outro titularSQL Injection em campos de busca → Extração em massa de toda a base de dados (nome, CPF, telefone, histórico de compras).
Exposição de PII em logs → Logs de API que incluem dados pessoais em texto plano, acessíveis a desenvolvedores sem necessidade.
3. Atende Ao Princípio de Segurança (Art. 6°, VII)
O art. 6° define como um dos princípios do tratamento a segurança, definida como ”utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais.”
Pentest é a validação ativa de que as medidas técnicas implementadas realmente funcionam — não apenas que existem no papel.
LGPD + Setores Regulados: A Dupla Obrigação
Para empresas no setor financeiro (fintechs, bancos digitais, operadoras de cartão), a conformidade é dupla:
| Regulação | Requisito de Pentest | Sanção |
|---|---|---|
| LGPD | Implícito — medidas técnicas proporcionais | Até R$ 50M por infração |
| BCB 538/2025 | Explícito — anual e obrigatório | Sanção administrativa BCB |
| PCI-DSS v4.0 | Explícito — Req. 11.3 (pentest anual) | Perda de processamento de cartão |
O Que Incluir no Relatório Para Fins de LGPD
Para que o relatório de pentest seja útil em caso de auditoria da ANPD:
✅ Mapeamento de fluxos de dados pessoais testados
✅ Vulnerabilidades que afetam dados pessoais destacadas explicitamente
✅ CVSS + impacto sobre titular (quais dados seriam expostos)
✅ Status de remediação por vulnerabilidade
✅ Data e escopo claramente definidos
✅ Assinatura e credenciais do executor
Quando Fazer o Pentest Para Fins de LGPD
Antes do lançamento de produto — identifique vulnerabilidades em dados pessoais antes de ter clientes reais.
Após mudanças de arquitetura — novas integrações, novo cloud provider, novo motor de autenticação.
Após incidente — mesmo que pequeno, investigar se há outros vetores.
Anualmente — para manter evidência de diligência técnica contínua.
Antes de deal enterprise — clientes grandes fazem security questionnaire e pedem pentest report.
Quer um pentest com relatório adequado para fins de LGPD e ANPD? Fale com nosso time — entendemos as exigências regulatórias brasileiras.