Quase no apagar das luzes de 2025, o debate sobre cibersegurança ganhou velocidade em Brasília. De um lado, o Anteprojeto de Lei Geral de Cibersegurança, em discussão no Executivo, promete organizar princípios e diretrizes para o tema. De outro, o PL 4752/2025, proposto pelo senador Esperidião Amin (PP/RS), que cria o Marco Legal da Cibersegurança, em discussão na CCJ do Senado, sob relatoria do senador Hamilton Mourão (PL/RS). Ambos dizem querer fortalecer a proteção digital no país. Contudo, uma pergunta segue sem resposta: qual será o lugar da criptografia nesse arranjo?
À primeira vista, pode soar estranho defender que uma lei mencione criptografia. Há um consenso razoável entre juristas e técnicos de que legislações que “cravam” uma tecnologia correm o risco de envelhecer mal. O ciclo de inovação é rápido, soluções mudam, arquiteturas são substituídas e o texto normativo fica preso ao passado.
O ponto é que a criptografia não é apenas uma tecnologia na prateleira. De mensagens cifradas em guerras antigas a códigos diplomáticos e comerciais, o processo de tornar uma mensagem ininteligível para terceiros, preservando o entendimento entre remetente e destinatário, é uma forma histórica de gerar segurança e confiança na comunicação. O mundo digital apenas ampliou a escala e a sofisticação dessa prática.
A criptografia, assim, escapa da armadilha de “congelar” tecnologia em lei. Não se trata de exigir que o legislador escolha um algoritmo ou protocolo específico, mas de reconhecer a criptografia como o mecanismo que concretiza valores já previstos no ordenamento jurídico brasileiro, como confidencialidade, integridade, autenticidade, sigilo das comunicações e proteção de dados pessoais.
Tanto o Anteprojeto quanto o Marco Legal falam em soberania, privacidade, sigilo, resiliência institucional, cooperação público-privada, proteção de grupos vulneráveis, prevenção a cibercrimes e incentivo à inovação. Tudo isso importa. Mas, ao evitar mencionar explicitamente a criptografia, ambos deixam em aberto justamente o elemento que materializa essas ambições, uma vez que, quando bem desenhada, a criptografia oferece, pelo menos, três garantias centrais:
(i) A confidencialidade, que limita o acesso ao conteúdo a quem de fato deve ter acesso;
(ii) A integridade, que impede alterações indevidas ao longo do caminho;
(iii) E a autenticidade, que permite verificar a origem legítima da informação.
Em um contexto em que se observa ade incidência cada vez maior de cibercrimes, violência de gênero e ataques a jornalistas, a criptografia passa a ser uma condição mínima de segurança e, muitas vezes, de sobrevivência. Dessa forma, ao blindar dados contra interceptações indevidas, a criptografia forte atua como contrapeso ao uso abusivo de tecnologias de vigilância, pois evita que ferramentas de segurança se convertam em mecanismos de controle social em larga escala.
Nada disso significa tratar a criptografia como bala de prata; sabemos que ela não resolve todos os problemas de cibersegurança nem dispensa políticas públicas diligentes. Um sistema com criptografia forte continua vulnerável se as chaves forem mal geridas, se dispositivos de ponta estiverem comprometidos, se houver engenharia social, falhas de governança ou opacidade no uso de ferramentas de hacking governamental. A criptografia protege conteúdo, mas não substitui processo, auditoria, responsabilização e desenho institucional cuidadoso.
Portanto, integrar a criptografia ao Marco Legal da Cibersegurança é reconhecer que qualquer regulação séria no tema precisa combinar salvaguardas técnicas robustas com um arcabouço jurídico que diga, com algum grau de precisão, o que pode e o que não pode ser feito em nome da segurança. Isso envolve limites ao uso de tecnologias intrusivas, critérios estritos de necessidade e proporcionalidade, obrigações de transparência, instâncias de controle independente e mecanismos efetivos de responsabilização em caso de abuso.
O texto do Marco Legal deixa essa tensão à mostra. O projeto prevê que o Programa Nacional de Segurança e Resiliência Digital poderá se apoiar em sistemas de monitoramento, alerta e reporte de incidentes. A previsão não é problemática em si e pode ser compatível com boas práticas de observabilidade e resposta rápida a ataques. O risco aparece quando a lei não estabelece balizas mínimas sobre finalidades, limites e salvaguardas, sobretudo em um país com histórico de usos pouco transparentes de ferramentas de monitoramento. Sem esses contornos, permanece aberta a possibilidade de que soluções legítimas e proporcionais convivam, no mesmo guarda-chuva, com abordagens mais intrusivas.
Algo semelhante ocorre nas regras de compartilhamento de informações entre entes federativos e com a futura Autoridade Nacional de Cibersegurança. O projeto fala em padronizar procedimentos de reporte de incidentes, mas não esclarece quais critérios de finalidade, necessidade e minimização de dados vão orientar esse fluxo, nem quais salvaguardas técnicas serão exigidas para evitar que o compartilhamento resulte em mais exposição ou na criação de grandes bases sensíveis com múltiplos pontos de ataque. Não se trata de a lei detalhar parâmetros técnicos ou procedimentos específicos, mas de indicar, de forma clara, que medidas como o uso de criptografia forte em repouso e em trânsito, gestão adequada de chaves e controles de acesso proporcionais são elementos estruturantes da política de cibersegurança, e não detalhes deixados à margem da discussão.
Vale lembrar que a experiência regional já oferece bons exemplos. O Chile aprovou em 2024 sua Lei Marco de Cibersegurança, reconhecendo a criptografia como direito, regulando infraestruturas críticas e impondo obrigações claras de gestão de risco e reporte de incidentes para operadores de serviços essenciais. O caso chileno mostra que é possível estruturar uma governança robusta de cibersegurança com foco em resiliência e proteção de direitos, sem tratar a criptografia como inimiga ou exceção a ser tolerada.
Nesse sentido, a criptografia deveria aparecer como pilar normativo, sem engessar soluções específicas. Em vez de permanecer escondida no plano técnico, precisa ser afirmada como requisito mínimo de proteção na administração pública e em infraestruturas críticas. Isso inclui comunicações sensíveis com criptografia de ponta a ponta, dados estratégicos armazenados com criptografia forte, gestão adequada de chaves e proteção efetiva contra portas dos fundos ou exigências de acesso excepcional generalizado.
Do ponto de vista econômico e tecnológico, a mensagem também é direta: a adoção de criptografia forte é requisito para que o Brasil participe de cadeias globais de inovação sem se tornar elo frágil. Empresas que desenvolvem soluções digitais, de serviços financeiros a telecomunicações, passando por plataformas de comunicação, cloud e infraestrutura, dependem de um ambiente regulatório que não demonize a criptografia nem ameace, a cada incidente, impor brechas forçadas em sistemas críticos. Segurança jurídica anda junto com segurança criptográfica e previsibilidade regulatória.
Se o Anteprojeto de Lei Geral de Cibersegurança e o Marco Legal de Cibersegurança pretendem organizar o ecossistema brasileiro e fortalecer a proteção digital, precisam dar esse passo.
O direito já sabe o que pretende proteger; falta nomear o mínimo de “como fazer” para que esses valores deixem de ser retóricos e passem a ser realmente implementados.
Dessa forma, o que está em jogo é que modelo de ambiente digital o Brasil pretende construir: um sistema baseado em vigilância ampla e medidas reativas e pontuais, ou um arcabouço sustentado por bases técnicas e jurídicas sólidas, capaz de oferecer segurança de forma estrutural e democrática. Reconhecer a criptografia forte como requisito mínimo, e não como detalhe técnico colocado na margem da discussão, é um passo decisivo nessa direção. Integrá-la explicitamente, mas sem fetichizá-la, ao Marco Legal da Cibersegurança significa afirmar, em lei, que segurança digital não se produz à revelia dos direitos fundamentais, mas a partir deles, com infraestrutura robusta, instituições responsáveis e prudência regulatória.
Fonte: Jota