Ter um certificado SSL válido no seu site é vital para a presença do seu negócio na internet. No entanto, ainda há sites legítimos que não possuem um certificado SSL. Além de trazer riscos por conta da segurança de dados, você também pode enfrentar problemas sérios com a legislação. Neste post vamos te explicar quais são as consequências disso perante a LGPD (Lei geral de proteção de dados).
O que acontece caso não tenha SSL válido, segundo a LGPD?
O que é um certificado SSL?
Um certificado SSL, também conhecido como certificado TLS, é um arquivo digital emitido por uma autoridade certificadora confiável. Ele autentica a identidade de um site e criptografa os dados transmitidos entre o navegador do usuário e o servidor. Ele contém informações como o domínio, o nome da empresa e a chave pública para criptografia. Assim, garantindo que a comunicação seja privada e íntegra.
Quando você tem um certificado SSL válido, o seu site passa a usar o protocolo HTTPS em vez do HTTP simples. Por conta disso, os navegadores passam a exibir um ícone de cadeado na sua barra de endereço, mostrando que seu site é seguro. Dessa forma, ele impede que terceiros interceptem dados sensíveis em trânsito, como senhas, números de cartão e informações pessoais enviadas por formulários. Sem ele, todo tráfego fica exposto, tornando o site vulnerável a ataques. Em resumo, o certificado SSL é o padrão mínimo de segurança para qualquer site que lida com dados de usuários na internet.
Por que ele é importante?
O certificado SSL é o responsável por proteger a confidencialidade e a integridade dos dados transmitidos. Ou seja, quando um usuário acessa um site sem SSL, atacantes podem capturar as informações trocadas, como dados de cadastro, login ou pagamento, em ataques do tipo “man-in-the-middle”. No entanto, com o SSL, esses dados são criptografados, tornando praticamente impossível sua leitura por pessoas não autorizados.
Além da segurança técnica, o certificado também passa confiança para os visitantes. Já que os navegadores mostram um alerta de “Não seguro” em sites sem SSL, o que afasta visitantes e prejudica a imagem da empresa. Além disso, alguns navegadores, como o Google, priorizam sites HTTPS em seus resultados de busca. Assim, impactando diretamente no tráfego orgânico e nas vendas.
O que pode acontecer caso eu não tenha um certificado SSL válido?
Quando você não tem um certificado SSL válido, seu site corre riscos imediatos e graves. Isto é porque os dados transmitidos entre o usuário e o servidor ficam em texto plano, e, sem a criptografia, hackers podem interceptar informações pessoais, senhas, endereços ou dados de pagamento. Assim, acarretando em roubo de identidade, fraudes financeiras ou vazamentos em massa.
Além dos danos técnicos, a falta de SSL também afeta a experiência do usuário negativamente. Como dito anteriormente, diversos navegadores como Chrome e Firefox exibem avisos de “Site não seguro”, afastando os visitantes do site quase imediatamente. Assim, reduzindo drasticamente o tráfego orgânico, as conversões e a credibilidade da sua marca. Já do ponto de vista de SEO, os navegadores punem sites sem SSL e diminuem seu posicionamento nos resultados de busca, consequentemente prejudicando o crescimento do seu negócio.
A longo prazo, a falta de SSL pode se configurar como descumprimento de normas de proteção de dados. Isso pode levar as autoridades a investigarem você, aplicarem multas e até mesmo moverem ações judiciais contra o seu negócio. Um único incidente de violação causado pela ausência de criptografia pode acarretar em grandes perdas financeiras, com a recuperação, notificações legais e perda de clientes.
O que é a LGPD?
A LGPD, também conhecida como a Lei Geral de Proteção de Dados Pessoais, é a legislação brasileira que regula o tratamento de dados pessoais de pessoas físicas, no meio digital e físico. Ela estabelece regras claras sobre como as empresas e órgãos públicos podem coletar, armazenar, usar e compartilhar informações das pessoas, como nome, e-mail, CPF, endereço IP, dados de saúde ou preferências comportamentais.
Ela estabelece direitos para o titular dos dados (acesso, correção, exclusão, revogação de consentimento) e impõe obrigações aos controladores e operadores, principalmente em relação à segurança, transparência e finalidade do tratamento. Também temos a Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão responsável por fiscalizar o cumprimento da LGPD e aplicar as sanções. Ou seja, qualquer site ou empresa que processe dados de residentes no Brasil deve seguir a norma, independentemente do tamanho do negócio.
Quais são as consequências de não ter certificado SSL válido segundo a LGPD?
De acordo com a LGPD, a ausência de um certificado SSL válido pode ser interpretada como descumprimento direto das obrigações de segurança previstas nos artigos 6º, inciso IX, e 46 da lei. Já que é exigido que os controladores e operadores adotem “medidas técnicas e administrativas aptas a proteger os dados pessoais” contra acessos não autorizados, perda, alteração ou qualquer forma de tratamento inadequado. E sem criptografia em trânsito, os dados pessoais enviados pelo site ficam expostos para interceptação. Assim, configurando uma falha grave de proteção.
Além disso, caso tenha um incidente de segurança decorrente dessa falha, como vazamento de dados de clientes, o titular do site tem a obrigação legal de comunicar a ANPD e os afetados em prazo razoável. Por conta da falta do SSL, a defesa em processos administrativos ou judiciais são enfraquecidas, já que a ausência do certificado dificulta a demonstração de que foram tomadas “medidas adequadas”. Consequentemente, a ANPD pode iniciar investigação de ofício ou por denúncia e aplicar as sanções previstas no artigo 52: advertência, multa de até 2% do faturamento da empresa no Brasil (limitado a R$ 50 milhões por infração), bloqueio ou eliminação dos dados, suspensão parcial do banco de dados ou até proibição total do exercício da atividade de tratamento de dados.
Além das sanções administrativas, o proprietário do site também pode enfrentar ações civis coletivas ou individuais por danos morais e materiais causados aos titulares, além de responsabilidade solidária com eventuais parceiros de processamento. Ademais a isso, isso afeta duramente a reputação da empresa, acarretando na perda de clientes, boicotes e prejuízos financeiros que costumam ser maiores que o valor das multas. Em casos graves e reiterados, isso coloca a própria continuidade do negócio em risco.
Esse foi o nosso post te explicando o que pode acontecer com você caso não tenha um certificado SSL válido segundo a LGPD. Esperamos que esse post tenha te ajudado a entender melhor e tirado suas dúvidas do assunto!
