Vazamento de Dados no Reino Unido: Lições de LGPD

Vazamento de dados deixou de ser problema distante de multinacional: em março de 2026, o portal de pensões do funcionalismo público britânico expôs informações pessoais de aposentados por causa de uma falha que qualquer auditoria básica teria pego. O caso da Capita virou manchete no Reino Unido — e é um alerta direto para qualquer empresa brasileira que coleta dados de clientes sob a LGPD. Neste guia, separo o que aconteceu, por que aconteceu e o que você deveria fazer diferente.

TL;DR

• Em 30/03/2026, o portal do Civil Service Pension Scheme (CSPS), operado pela Capita, deixou 138 membros verem extratos de aposentadoria de outras pessoas por cerca de 35 minutos.
• A causa foi controle de acesso quebrado: cada usuário deveria enxergar só os próprios dados, e o sistema escorregou.
• O mesmo portal já tinha subido sem DNSSEC, proteção considerada básica para um site financeiro.
• Não foi a primeira vez: a Capita levou multa de £14 milhões do regulador britânico (ICO) por um vazamento de dados de 2023 que atingiu 6,6 milhões de pessoas.
• Para empresas no Brasil, o roteiro de risco é idêntico sob a LGPD — e os erros são evitáveis.

O que aconteceu no vazamento de dados da Capita

No dia 30 de março de 2026, durante aproximadamente 35 minutos, o portal do Civil Service Pension Scheme — o esquema de aposentadoria de cerca de 1,7 milhão de servidores públicos do Reino Unido — apresentou um defeito grave. Ao gerar os Annual Benefit Statements (ABS), os extratos anuais de benefício, o sistema misturou registros: 138 membros ou viram o extrato de outra pessoa, ou tiveram o próprio extrato visto por terceiros. Nome e endereço estavam entre os dados expostos.

A administração do esquema é responsabilidade da Capita, gigante britânica de terceirização que assumiu o contrato em 1º de dezembro de 2025 — um acordo de sete anos avaliado em £239 milhões, herdado da operadora anterior, a MyCSP. Assim que a falha foi identificada, a função de gerar extratos foi suspensa, e todos os afetados foram contatados em 3 de abril. No dia 16 de abril de 2026, o próprio governo britânico levou o caso ao Information Commissioner's Office (ICO), o regulador de proteção de dados do país.

Pode parecer um número pequeno — 138 pessoas. Mas em proteção de dados, escala não é o que define a gravidade. O que define é a natureza do dado (financeiro, pessoal) e a falha de princípio: um sistema que mistura registros entre usuários quebrou a regra mais elementar de qualquer aplicação que lida com contas individuais.

A falha técnica: controle de acesso quebrado

O coração do problema é um conceito que todo desenvolvedor deveria ter tatuado: controle de acesso. A ideia é simples — cada usuário autenticado só pode acessar os recursos que pertencem a ele. Quando esse controle falha, surge o que a indústria chama de broken access control, hoje o item número 1 do ranking de riscos de aplicação web da OWASP.

No caso da Capita, o portal entregou ao usuário A o documento do usuário B. Em termos práticos, é como se um caixa eletrônico mostrasse o saldo do cliente da fila ao cliente seguinte. Não houve invasão sofisticada, nem ransomware, nem hacker de filme: foi a aplicação fazendo a coisa errada sozinha, ao gerar os extratos.

O agravante: o portal subiu sem segurança básica

Aqui mora a parte que mais incomoda quem trabalha com web. Antes mesmo desse episódio, especialistas já tinham apontado que o portal foi ao ar, em dezembro de 2025, sem DNSSEC — uma extensão de segurança do DNS que dificulta o sequestro de domínio e o redirecionamento de usuários para sites falsos. A proteção só foi ativada depois de um aviso público.

A frase de uma especialista em segurança citada pela imprensa britânica resume tudo: "isso é o básico do básico para gerenciar um site. É uma falha séria para um site de natureza financeira." Quando o feijão com arroz da segurança web é negligenciado, o vazamento de dados deixa de ser azar e passa a ser questão de tempo. É a mesma lição que vimos quando o GitHub foi usado para distribuir uma extensão maliciosa do VS Code: a porta de entrada quase sempre é um descuido evitável.

Não foi a primeira vez: a multa de £14 milhões

O episódio de 2026 não é um caso isolado. Ele acontece com a Capita ainda carregando a cicatriz de um vazamento de dados muito maior, de 2023, cuja conta só chegou em outubro de 2025. Vale comparar os dois eventos lado a lado:

Aspecto	Incidente de 2023	Incidente de 2026
Tipo	Ataque ransomware	Falha de controle de acesso
Origem	Arquivo malicioso baixado por funcionário	Defeito na geração de extratos
Pessoas afetadas	6,6 milhões	138
Dados expostos	Pensões, RH, dados sensíveis	Nome e endereço
Tempo de resposta	Dispositivo isolado só após 58 horas	Função suspensa de imediato
Consequência	Multa de £14 milhões do ICO	Caso encaminhado ao ICO

Na invasão de 2023, um arquivo malicioso foi baixado no dispositivo de um funcionário em 22 de março. Apesar de um alerta de alta prioridade ter sido disparado em 10 minutos, a empresa só isolou a máquina 58 horas depois — janela suficiente para o invasor extrair quase 1 terabyte de dados entre 29 e 30 de março. O ICO concluiu que o centro de operações de segurança estava com equipe insuficiente e que sistemas com milhões de registros não passavam por testes de invasão recorrentes.

O resultado foi uma multa de £14 milhões (a soma considerou £8 milhões para a Capita plc e £6 milhões para a Capita Pension Solutions), anunciada pelo ICO em outubro de 2025. O cálculo inicial chegou a £58 milhões antes de reduções. O recado do regulador foi explícito: segurança de dados não é tarefa de bombeiro, é manutenção contínua.

Por que isso importa para empresas brasileiras

"É um caso do Reino Unido, não tem a ver comigo." Tem, e muito. A lógica regulatória que pune a Capita é a mesma que rege o tratamento de dados pessoais no Brasil. Troque "ICO" por "ANPD" e "UK GDPR" por "LGPD" e a história inteira poderia se passar aqui.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que qualquer empresa que trate dados pessoais adote medidas técnicas e administrativas para protegê-los. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar advertências, exigir bloqueio ou eliminação de dados e impor multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. E o gatilho não é só o ataque externo: a obrigação de notificar incidentes vale tanto para o ransomware sofisticado quanto para o bug que mostrou o dado de um cliente para outro.

O risco mora nos detalhes, não no espetacular

O vazamento de dados de 2026 da Capita prova um ponto que repito para todo cliente: o maior risco raramente é o ataque hollywoodiano. É o controle de acesso mal testado, o formulário sem validação, o painel administrativo exposto, o backup público. São falhas baratas de corrigir e caríssimas de ignorar. A mesma fragilidade silenciosa apareceu no caso dos pacotes NPM infectados pelo Shai-Hulud, onde a confiança cega numa dependência abriu a porta dos fundos.

As 6 lições práticas do caso

Tirei deste episódio seis lições que aplicamos na Agathas Web em qualquer sistema que toca dado de cliente. Nenhuma é cara; todas são frequentemente puladas.

1. Controle de acesso é teste obrigatório, não opcional. Cada endpoint que retorna dado pessoal precisa verificar se o usuário logado é o dono daquele dado. Teste isso explicitamente, com contas diferentes, antes de subir.
2. Segurança básica vem antes do lançamento, não depois. HTTPS, DNSSEC, headers de segurança e autenticação forte são pré-requisitos de go-live, não melhorias para a "fase 2".
3. Tempo de resposta a incidente é métrica de vida ou morte. As 58 horas da Capita em 2023 viraram 1 TB vazado. Tenha um plano de resposta e ensaie-o.
4. Teste de invasão é recorrente. Um pentest só no lançamento envelhece em semanas. Refaça a cada mudança relevante.
5. Minimize o que você coleta. Dado que você não guarda não vaza. Pergunte se você realmente precisa daquele CPF, daquele endereço.
6. Notifique rápido e com transparência. A LGPD exige comunicação à ANPD e aos titulares em prazo razoável. Esconder incidente piora a sanção e destrói a confiança.

Sistema oficial e seguro vs gambiarra

Existe um fio que liga o caso Capita a uma decisão que empresas brasileiras tomam toda semana: usar a ferramenta oficial e auditável, ou a gambiarra mais barata que "resolve por enquanto". A Capita errou mesmo operando uma plataforma oficial — imagine o tamanho do risco de quem roda dados sensíveis em soluções improvisadas, sem suporte, sem atualização de segurança e sem ninguém responsável quando algo quebra.

É exatamente a lógica que defendemos quando o assunto é integração de atendimento. Rodar a comunicação da sua empresa em APIs não oficiais ou apps clonados é construir sobre areia: sem garantia de continuidade, sem trilha de auditoria e com seu número (e os dados dos seus clientes) reféns de uma camada que pode sumir a qualquer momento. Já detalhei esse trade-off na comparação entre WhatsApp Business App e API Oficial e no guia sobre o que fazer quando o WhatsApp é bloqueado. A conclusão é sempre a mesma: a infraestrutura oficial custa um pouco mais e te protege muito mais.

Segurança não é recurso que se adiciona no fim. É decisão de arquitetura que se toma no começo — o mesmo princípio que vale para um portal de pensões, para um app educacional ou para a camada de segurança de um sistema operacional inteiro como o Android 17.

Como proteger os dados dos seus clientes hoje

Você não precisa ser uma multinacional para fazer o dever de casa. Este é o checklist mínimo que recomendo a qualquer negócio que mantém cadastro de clientes:

• Liste todos os pontos onde a sua aplicação retorna dado pessoal e teste o controle de acesso em cada um.
• Ative HTTPS em tudo, force redirecionamento e renove certificados automaticamente.
• Use autenticação forte (de preferência com segundo fator) no acesso administrativo.
• Mantenha dependências e o servidor atualizados — a maioria das brechas explora versão antiga conhecida.
• Faça backup criptografado e teste a restauração de verdade, não só o agendamento.
• Tenha um plano de resposta a incidentes escrito, com quem aciona o quê e em quanto tempo.
• Documente o que você coleta e por quê — é exigência da LGPD e ótima higiene de dados.

Se a sua equipe não tem fôlego para tocar tudo isso, contratar quem trata segurança como parte do projeto — e não como puxadinho — sai muito mais barato que uma multa da ANPD ou a perda de confiança dos seus clientes.

Conclusão: o básico bem feito é o que protege

O vazamento de dados da Capita não foi obra de um gênio do crime. Foi a soma de detalhes negligenciados: um controle de acesso que não foi testado a fundo, uma segurança básica adiada, um histórico de resposta lenta. É justamente por ser banal que ele ensina tanto — porque os mesmos descuidos estão ao alcance de qualquer empresa apressada.

A boa notícia é que o caminho de saída é conhecido e acessível: trate dados de clientes com o cuidado que você gostaria que tratassem os seus. Se você quer revisar como o seu sistema lida com dados pessoais e fechar essas portas antes que alguém as encontre, a equipe da Agathas Web pode ajudar a fazer esse diagnóstico com calma.