Menos da metade dos provedores de internet no Brasil estruturou de forma adequada a governança de dados pessoais, mesmo diante de um cenário de ataques cibernéticos em alta e de exigências crescentes da LGPD.
Estrutura de proteção de dados
A Pesquisa TIC Provedores 2024 mostra que apenas 42% dos ISPs declaram ter uma área ou, pelo menos, uma pessoa dedicada à proteção de dados pessoais, praticamente o mesmo patamar de 2022 (40%). Entre as grandes empresas o índice chega a 85%, mas cai para 37% nas micro e 42% nas pequenas, revelando um gap relevante de maturidade entre os portes.
Quando se observa a formalização do tema, a desigualdade se repete. A maior parte dos provedores afirma realizar reuniões específicas sobre proteção de dados, porém essa prática é bem mais difundida entre médias e grandes empresas. Em 2024, 86% das empresas de médio porte e 86% das grandes declararam promover discussões internas regulares sobre o assunto, enquanto entre micro e pequenas houve retração em relação a 2022.
LGPD concentrada na TI
Nos provedores que já contam com área ou responsável definido, a governança de dados permanece fortemente concentrada na TI. Em 2024, cerca de 78% dos ISPs com estrutura dedicada apontaram a equipe de tecnologia da informação como responsável pela proteção de dados, proporção praticamente idêntica à de 2022.
Especialistas em privacidade e segurança alertam que, embora TI seja central para controles técnicos, a LGPD exige abordagem multidisciplinar, envolvendo jurídico, compliance, atendimento e alta gestão.
A concentração exclusiva em TI tende a limitar ações como revisão de contratos, gestão de consentimento, resposta a titulares e adequação de processos de negócio.
Avanço em segurança, mas com assimetria
O estudo também indica que o setor começa a usar segurança como diferencial competitivo. Em 2024, 32% dos provedores passaram a ofertar serviços de proteção de rede e de usuários, frente a 24% em 2022, sinalizando um movimento de profissionalização. Ao mesmo tempo, a adoção de tecnologias de infraestrutura crítica avançou: 72% dos provedores já oferecem IPv6, contra 64% em 2022 e 40% em 2020.
Apesar desses avanços, a adequação à LGPD é mais robusta nas empresas de maior porte, que contam com equipes jurídicas, de segurança e de compliance mais estruturadas. Entre micro e pequenos provedores, restrições orçamentárias, falta de especialistas e uso de sistemas genéricos ainda dificultam a implementação de políticas, registros de tratamento e gestão de incidentes em linha com a lei.
Escalada dos ataques DDoS
Enquanto a governança de dados avança de forma desigual, os ataques de negação de serviço (DDoS) crescem de maneira consistente. Em 2024, 30% dos provedores brasileiros relataram ter sofrido DDoS, acima dos 23% registrados em 2022, segundo a TIC Provedores.
No Nordeste, a proporção de empresas que declararam ataques quase dobrou, passando de 14% para 25% no mesmo período.
Outras pesquisas reforçam o aumento da pressão: relatórios citam o Brasil como um dos epicentros de ataques DDoS na América Latina, com centenas de milhares de incidentes anuais e picos de tráfego na casa dos terabits por segundo.
Em levantamentos recentes, cerca de 10% dos provedores que sofreram DDoS chegaram a registrar interrupção completa do serviço, enquanto mais de 20% operaram com forte degradação de desempenho para clientes.
Desafios e prioridades para ISPs
Especialistas apontam que provedores, sobretudo micro e pequenos, precisam priorizar três frentes: conformidade com LGPD, resiliência a DDoS e educação interna. Isso envolve definir papéis claros para proteção de dados (incluindo DPO ou equivalente), revisar contratos com terceiros e implementar planos de resposta a incidentes que incluam comunicação com titulares e autoridades.
Na camada técnica, recomenda-se investir em soluções de mitigação DDoS, segmentação de rede, monitoramento contínuo e participação em iniciativas como IX.br e CSIRTs setoriais, que ampliam a capacidade de reação coordenada.
Para além da tecnologia, reuniões periódicas e treinamentos de equipes — especialmente em pequenos provedores — são vistos como essenciais para transformar LGPD e segurança em rotina, e não apenas em resposta a crises ou fiscalizações.