Introdução
O vazamento de credenciais e informações sigilosas tornou-se uma das ameaças mais significativas à segurança da informação e à proteção de dados pessoais no Brasil. Enquanto ataques ostensivos, como ransomware, chamam atenção imediata, a exposição silenciosa de credenciais e dados pessoais, especialmente os de crianças e adolescentes, pode gerar danos duradouros e de difícil remediação. A necessidade de proteção reforçada é ainda mais urgente quando se considera a legislação nacional, como a Lei Geral de Proteção de Dados (LGPD), o Estatuto da Criança e do Adolescente (ECA) e o emergente ECA Digital.
Vazamento de Dados Sigilosos no TJSP
Em dezembro de 2025, reportagens revelaram que dados sigilosos de processos envolvendo crianças e adolescentes vinculados ao Tribunal de Justiça de São Paulo (TJSP) foram expostos em sites jurídicos de busca, como Escavador e JusBrasil, apesar de tramitar sob segredo de justiça.
As informações divulgadas incluíam nomes completos, idades, detalhes dos atos infracionais e outros dados sensíveis associados a adolescentes, permitindo que simples pesquisas na internet resultassem na identificação de jovens que deveriam ter sua privacidade garantida por lei.
A Defensoria Pública classificou o episódio como inédito e de grande gravidade, destacando que a exposição pública teria levado a consequências concretas para os adolescentes, como demissões, abandono escolar e situações de constrangimento social.
Implicações para a Segurança da Informação
O caso do TJSP evidencia como a exposição de dados sensíveis pode ocorrer de forma silenciosa e sistemática, mesmo em ambientes altamente regulados. A combinação de credenciais comprometidas, falta de anonimização e replicação automática de documentos judiciais em plataformas públicas cria um risco de acesso não autorizado e divulgação indevida de dados pessoais, violando princípios fundamentais de confidencialidade e segurança.
Quando credenciais de autenticação ou mecanismos que deveriam proteger o acesso a sistemas e documentos são falhos ou mal configurados, informações que deveriam ser restritas acabam circulando em ambientes abertos, ampliando a superfície de ataque e a exposição de dados sensíveis.
Proteção Reforçada de Dados de Crianças e Adolescentes
A LGPD estipula que o tratamento de dados de crianças e adolescentes deve observar o princípio do melhor interesse do menor, o que implica proteção reforçada e limitações específicas ao tratamento desses dados. Esses dispositivos reforçam que:
- Dados de menores demandam bases legais sólidas e justificativas claras para sua coleta, armazenamento e uso.
- O consentimento, mesmo quando possível, não é suficiente; é necessário que o tratamento seja rigorosamente necessário e que medidas técnicas e organizacionais estejam implementadas para proteger esses dados.
- O vazamento ou divulgação indevida de informações sigilosas de crianças e adolescentes pode dar ensejo a responsabilidades civis e administrativas, incluindo notificações à Autoridade Nacional de Proteção de Dados (ANPD) e, potencialmente, sanções previstas na legislação.
No caso do TJSP, ainda que o tribunal tenha alegado não ter havido falhas em seus sistemas internos, a disponibilização de dados sensíveis em sites de terceiros indica lacunas no controle sobre como essas informações são acessadas e replicadas, exigindo uma revisão das políticas, fluxos de tecnologia e práticas de anonimização.
ECA, ECA Digital e a Proteção Integral dos Menores
O Estatuto da Criança e do Adolescente (ECA) estabelece que dados que identifiquem adolescentes envolvidos em atos infracionais têm proteção absoluta sob segredo de justiça. A divulgação de tais informações fere diretamente dispositivos legais que protegem a privacidade, a dignidade e a integridade dos jovens, expondo-os não apenas a constrangimentos, mas a riscos sociais, emocionais e de segurança física.
A nova legislação em discussão no Brasil, conhecida como ECA Digital, reforça e amplia as proteções para crianças e adolescentes no ambiente digital, incluindo a exigência de que produtos e serviços voltados a esse público sejam projetados com os mais altos padrões de privacidade e segurança por padrão.
Recomendações e Medidas Preventivas
Diante dos riscos associados tanto ao vazamento de credenciais quanto à exposição de dados sigilosos de menores, as organizações públicas e privadas devem adotar uma estratégia robusta de proteção de dados que inclua:
- Revisões e auditorias regulares de sistemas que armazenam ou replicam informações sensíveis, garantindo que segredos processuais e dados de menores sejam devidamente protegidos.
- Políticas de anonimização de dados e mecanismos de filtragem que impeçam a disponibilização automática de conteúdos sigilosos em plataformas públicas.
- Implementação de autenticação multifator (MFA) e controles de acesso baseados no princípio do menor privilégio para reduzir o risco de credenciais comprometidas.
- Monitoramento contínuo de possíveis vazamentos ou reproduções não autorizadas de documentos judiciais, com ações rápidas de remoção e mitigação.
- Educação e capacitação de servidores, operadores de sistemas e partes envolvidas sobre a importância de práticas responsáveis de proteção de dados.
Conclusão
O episódio envolvendo o vazamento de dados sigilosos de crianças e adolescentes em processos do TJSP é um alerta inescapável sobre como falhas, mesmo que involuntárias ou estruturais, podem resultar em consequências graves para indivíduos vulneráveis. Quando combinados com a ameaça persistente de credenciais vazadas, esses incidentes sublinham a importância de políticas robustas de segurança da informação, conformidade com a LGPD e atenção especial aos princípios do ECA e do futuro ECA Digital.
Proteger dados pessoais sensíveis, especialmente de grupos vulneráveis como crianças e adolescentes, não é apenas uma exigência legal, mas um imperativo ético e social no contexto digital contemporâneo.
Referências
https://www.bitsight.com/blog/what-are-compromised-credentials
https://blog.checkpoint.com/security/the-alarming-surge-in-compromised-credentials-in-2025
Conte com a DPO Expert para a melhor solução em proteção de dados
Incidentes envolvendo credenciais vazadas e a exposição de dados sigilosos, especialmente de crianças e adolescentes, demonstram que a proteção de dados não pode ser tratada apenas como um requisito formal, mas como um elemento estratégico de segurança, governança e responsabilidade social. Em um cenário em que falhas silenciosas podem gerar danos jurídicos, reputacionais e humanos irreversíveis, contar com uma assessoria especializada faz toda a diferença.
A DPO Expert atua de forma preventiva e estruturada, ajudando organizações públicas e privadas a identificar riscos ocultos no tratamento de dados, revisar fluxos de informação e implementar controles técnicos e organizacionais alinhados às exigências da LGPD, do ECA e das melhores práticas internacionais de segurança da informação. Nossa abordagem vai além da conformidade documental, integrando privacidade e segurança desde o desenho de processos e sistemas.
Com expertise em gestão de incidentes, governança de dados e proteção reforçada de dados de crianças e adolescentes, a DPO Expert apoia a implementação de políticas de controle de acesso, autenticação multifator, anonimização, retenção adequada de dados e resposta a incidentes, reduzindo significativamente o risco de vazamentos e acessos indevidos.
Conte com a DPO Expert para transformar a proteção de dados em um diferencial estratégico, garantindo segurança jurídica, confiança institucional e conformidade sustentável em um ambiente digital cada vez mais desafiador.
Clique aqui e veja como a DPO Expert pode proteger sua empresa.
