Marco Legal da Cibersegurança avança, mas debate sobre criptografia segue como ponto cego no Brasil

Nos últimos meses de 2025, a agenda de cibersegurança voltou ao centro das discussões em Brasília. O governo federal trabalha no Anteprojeto de Lei Geral de Cibersegurança, enquanto o Senado analisa o PL 4752/2025, que propõe instituir um Marco Legal para o setor. Apesar de iniciativas distintas, ambas compartilham o mesmo propósito: estabelecer bases regulatórias para fortalecer a proteção digital do país.

Mesmo assim, permanece uma lacuna fundamental — o tratamento dado à criptografia. O tema aparece de forma indireta, embora seja ela o mecanismo que torna operáveis vários dos princípios defendidos nas duas propostas.

A ausência causa estranhamento porque não se discute incluir algoritmos ou padrões específicos na legislação. O ponto central é reconhecer que criptografia não é apenas uma solução técnica sujeita ao ciclo natural de obsolescência: ela é um instrumento histórico de preservação de confidencialidade e confiança, cuja aplicação moderna sustenta pilares constitucionais como o sigilo das comunicações, a proteção de dados pessoais e a integridade das informações.

No ambiente digital atual, criptografia forte permite materializar três garantias estruturantes de segurança:

1. Confidencialidade, ao restringir o acesso ao conteúdo apenas a seus destinatários legítimos;

2. Integridade, ao impedir modificações não autorizadas;

3. Autenticidade, ao verificar a origem real da informação e evitar falsificação.

Essas bases tornam-se ainda mais relevantes diante do aumento de cibercrimes, ataques direcionados a jornalistas, violência de gênero digital e uso crescente de ferramentas de vigilância. Quando bem implementada, a criptografia funciona como contrapeso democrático, limitando abusos e evitando que tecnologias de monitoramento se transformem em mecanismos de controle social.

É evidente, contudo, que criptografia não resolve tudo. Sem boa gestão de chaves, governança adequada, auditorias independentes e educação em segurança, nenhum sistema permanece protegido. A função da lei não é canonizar protocolos nem engessar padrões tecnológicos, mas estabelecer balizas claras sobre limites, responsabilidades e salvaguardas mínimas.

É justamente nesse ponto que tanto o Anteprojeto quanto o Marco Legal deixam dúvidas. O PL prevê que o Programa Nacional de Segurança e Resiliência Digital poderá adotar sistemas de monitoramento e alerta. A previsão é compatível com práticas globais de resposta a incidentes, mas, sem parâmetros sobre finalidade, proporcionalidade e transparência, abrem-se brechas para interpretações expansivas — especialmente num país cuja história registra uso pouco transparente de tecnologias intrusivas.

O mesmo vale para o compartilhamento de informações entre entes públicos. Padronizar fluxos de reporte é necessário, porém falta clareza sobre critérios de minimização, riscos decorrentes de grandes bases centralizadas e requisitos técnicos para proteger dados sensíveis em repouso e em trânsito. A legislação não precisa ditar detalhes operacionais, mas deveria afirmar que criptografia forte, gestão adequada de chaves e controles de acesso proporcionais constituem requisitos obrigatórios para qualquer política nacional de cibersegurança.

Experiências internacionais reforçam essa abordagem. A Lei Marco de Cibersegurança aprovada no Chile em 2024 tratou explicitamente a criptografia como direito, estabelecendo obrigações claras para operadores de serviços essenciais e criando uma governança voltada à resiliência. A lição é simples: é possível conciliar inovação, segurança e proteção de direitos sem demonizar ferramentas criptográficas.

Sob essa perspectiva, a legislação brasileira precisaria assumir a criptografia como elemento estrutural da política pública, e não como nota de rodapé técnica. Isso implica sua adoção obrigatória em comunicação sensível, em bases estratégicas de dados e em infraestruturas críticas, sempre acompanhada de gestão de chaves responsável e vedação explícita a práticas como backdoors ou acessos excepcionais generalizados.

Do ponto de vista econômico e tecnológico, o impacto também é direto. Ecossistemas digitais competitivos — de telecom a finanças, passando por cloud, plataformas de comunicação e serviços B2B — dependem de previsibilidade regulatória. Sem clareza sobre a legitimidade da criptografia forte, o Brasil corre o risco de se tornar um elo vulnerável em cadeias globais de inovação.

Se a ambição do Marco Legal e do Anteprojeto é consolidar uma estratégia nacional de cibersegurança, falta um passo decisivo: reconhecer que a proteção digital começa a partir dos direitos fundamentais e da segurança técnica, e não apesar deles.

O país precisa decidir qual ambiente digital deseja construir: um sistema guiado por vigilância ampla e controles reativos, ou uma estrutura baseada em princípios jurídicos sólidos, salvaguardas técnicas robustas e instituições capazes de garantir segurança sem comprometer liberdades.

Incluir a criptografia forte nesse arcabouço não engessa a legislação — fortalece-a. E sinaliza ao setor público, ao mercado e à sociedade que segurança digital exige clareza, responsabilidade e prudência regulatória.