Com a ANPD em modo sancionador, o Marco Legal da IA em tramitação e ataques cibernéticos batendo recordes, a capacidade de integrar cibersegurança, conformidade regulatória e relações governamentais deixou de ser diferencial e passou a ser condição de sobrevivência corporativa. Para especialistas, a empresa que ainda trata essas áreas como silos separados já está em desvantagem.
Imagine que sua empresa sofre um ataque cibernético hoje. Nos próximos minutos, a área de TI vai tentar conter o incidente. O jurídico vai correr para avaliar obrigações legais. O compliance vai verificar prazos de notificação à ANPD. A comunicação vai tentar controlar a narrativa. E a diretoria vai precisar falar com reguladores, parceiros e, eventualmente, com a imprensa. Se essas frentes não estiverem integradas, e se cada uma operar com sua própria lógica, seu próprio tempo e seu próprio vocabulário, a resposta será fragmentada. E fragmentação, em uma crise, é o caminho mais rápido para o agravamento.
Esse cenário não é hipotético. É a realidade de boa parte das empresas brasileiras que enfrentaram incidentes cibernéticos nos últimos dois anos. E ele expõe uma lacuna que o mercado finalmente começou a nomear: a ausência de profissionais capazes de transitar com fluência entre tecnologia, regulação e política institucional, e de fazer essas três dimensões conversarem em tempo real.
Para José de Souza Junior, diretor do Grupo RG Eventos, “A transformação digital elevou o grau de interdependência entre tecnologia, regulação e ambiente institucional. Decisões tecnológicas deixaram de ter impacto apenas operacional e passam a produzir efeitos jurídicos, regulatórios e reputacionais quase imediatos”.
Durante anos, a lógica corporativa separou o mundo da tecnologia do mundo jurídico e do mundo das relações governamentais. Cada área tinha seu próprio orçamento, sua própria cadeia de reporte e sua própria definição de risco. Esse modelo funcionou enquanto os incidentes eram localizados e as regulações, brandas.
A Autoridade Nacional de Proteção de Dados (ANPD), transformada em agência reguladora plena em 2025, inaugurou uma nova fase no Brasil. Saiu do modo orientativo e entrou no modo sancionador. Seu Mapa de Temas Prioritários para 2026-2027 coloca inteligência artificial, incidentes de segurança e direitos dos titulares no centro da fiscalização ativa. As multas previstas chegam a 2% do faturamento anual, limitadas a R$ 50 milhões por infração. E, pela primeira vez, terceirizadas passam a responder solidariamente por falhas de segurança.
Para Souza Júnior, é exatamente esse cruzamento de frentes que torna a visão integrada não apenas desejável, mas urgente: “Um ataque cibernético não é apenas um problema técnico. Ele envolve comunicação com autoridades competentes, cumprimento de prazos legais de notificação, gestão de impactos junto a órgãos reguladores e interlocução com stakeholders institucionais. Quando essas áreas atuam isoladamente, a resposta é fragmentada e mais vulnerável”, pontua o especialista em cibersegurança, Direito Digital e governança.
Os dados do mercado reforçam essa percepção. Segundo levantamento da CrowdStrike, mais de 1 bilhão de credenciais pertencentes a organizações e indivíduos na América Latina foram recuperadas em ambientes clandestinos em 2024, e o Brasil lidera esse ranking regional. No mesmo período, o custo médio para que um criminoso compre acesso à rede de uma empresa caiu para US$ 1.355, tornando ataques a pequenas e médias empresas economicamente viáveis como nunca antes.
A transformação mais visível dos últimos dois anos não aconteceu nos servidores. Aconteceu nas salas de reunião. A cibersegurança entrou definitivamente na agenda de conselhos de administração, e não como um item técnico de relatório trimestral, mas como critério de governança corporativa.
José de Souza Junior traduz esse movimento em termos precisos:
“A governança moderna exige que o Board compreenda a Matriz de Riscos Cibernéticos com a mesma fluidez que analisa um balanço patrimonial. Erros de configuração em nuvem ou vulnerabilidades em APIs de IA não são apenas falhas técnicas; são violações de deveres fiduciários que podem levar à responsabilização direta de diretores e conselheiros”.
Existe uma narrativa sobre regulação que precisa ser revisada: a de que conformidade é custo. Os dados de mercado e os casos concretos dos últimos anos mostram o oposto: empresas com governança digital madura respondem a crises mais rápido, recuperar reputação com mais eficiência e acessar mercados que, cada vez mais, exigem demonstração de conformidade como critério de entrada.
A PwC aponta que mais de um terço dos executivos já relatam que regulações sobre IA, terceiros e cibersegurança de produtos funcionam como barreira para operar em certos mercados. Empresas sem governança estruturada não perdem apenas negócios domésticos, mas perdem também acesso a parceiros internacionais, a investidores e a cadeias de suprimento globais que exigem compliance com múltiplas jurisdições simultaneamente.
O mercado global de governança de dados deve alcançar US$ 11,68 bilhões até 2030, crescendo 21% ao ano. No Brasil, apenas 12% das empresas atingiram nível avançado em utilização e governança de dados, o que significa que há uma janela de vantagem competitiva significativa para quem agir antes.
“A incorporação desse olhar integrado fortalece a governança porque permite que a organização deixe de atuar apenas de forma defensiva e passe a operar com maior capacidade de antecipação, coordenação e influência estratégica. Em termos estratégicos, o ganho mais relevante é que a governança digital deixa de ser vista apenas como mecanismo de mitigação de risco e passa a funcionar como um ativo de confiança, reputação e competitividade”, pondera o executivo do Grupo RG Eventos.
O retrato que emerge desse cenário é o de uma demanda nova e ainda mal atendida: profissionais e estruturas capazes de operar simultaneamente na linguagem da tecnologia, do Direito e das relações institucionais. Não especialistas em cada uma dessas áreas trabalhando em paralelo, mas uma visão integrada que produza decisões coordenadas.
Esse perfil é raro porque exige uma trajetória incomum: experiência técnica suficiente para compreender arquiteturas de risco cibernético, formação jurídica ou regulatória capaz de mapear obrigações e exposições, e trânsito institucional suficiente para dialogar com reguladores, legisladores e organismos internacionais com a mesma competência.
O Fórum Econômico Mundial, em seu Relatório de Riscos Globais 2026, aponta que a maioria das organizações ainda não está preparada para responder a incidentes que cruzam simultaneamente as dimensões técnica, jurídica e reputacional. A lacuna não é de tecnologia. É de governança integrada.
Como conclui José Souza Junior, diretor do Grupo RG Eventos, responsável pela proteção cibernética de eventos institucionais internacionais como a COP30, e a frase vale como síntese de tudo que o cenário atual impõe: “O futuro da competitividade empresarial depende da capacidade de integrar segurança, regulação e estratégia institucional em uma única visão de governança. Não se trata apenas de proteger sistemas, mas de proteger a própria sustentabilidade do negócio em um ambiente digital cada vez mais complexo e regulado”, finaliza o especialista.
Leia mais em: https://gruporgeventos.com.br/index.php/blog/
