Quando a Gol confirmou um vazamento de dados ligado à Smiles, a tentação de tratar o caso como “pequeno” apareceu de imediato: a própria companhia apontou que o incidente afetou menos de 0,04% da base. Só que essa leitura perde o ponto principal. O alerta real é outro: terceirizar sistemas não terceiriza responsabilidade, e o Brasil ainda convive com uma segurança tratada como detalhe.
O que aconteceu no vazamento da Smiles
A sequência é direta. A Gol informou que identificou, em 12 de novembro de 2025, um acesso indevido em um sistema terceirizado usado pela Smiles, seu programa de fidelidade. No comunicado ao mercado, disse não haver evidências de comprometimento de senhas, dados de cartão de crédito, informações de reserva nem acesso indevido a contas de usuários.
O que foi exposto, segundo a própria empresa, foi sensível de outro jeito: dados de identificação, dados de contato e até cópias de documentos de identidade. A Gol também afirmou que comunicou clientes afetados e autoridades competentes, conforme a legislação aplicável, e adotou medidas de segurança para conter e investigar o incidente.
Por que “só 0,04%” não reduz a gravidade
Percentual não é sinônimo de impacto. Em incidentes de privacidade, o que pesa de verdade é a natureza do dado. Quando entram documentos, o risco muda de patamar: você não “troca” um RG como troca uma senha. Documentos podem ser usados em fraudes de identidade, abertura indevida de contas, golpes de engenharia social e tentativas de se passar pelo titular em processos de verificação.
Em outras palavras, mesmo com um universo menor de pessoas afetadas, o dano potencial por pessoa pode ser maior. E é aí que esse caso começa a funcionar como estudo de caso para o mercado inteiro, porque ele expõe o mecanismo mais comum por trás de vazamentos modernos: o terceiro no meio do caminho.
O elo mais fraco: terceirização não terceiriza responsabilidade
Pense assim: imagine que você tranca sua casa com a fechadura mais cara do mundo, mas deixa a chave com o entregador. É isso que acontece quando grandes empresas sofrem vazamentos via terceiros. O recente incidente da Gol/Smiles, que expôs documentos de clientes através de um sistema parceiro, mostra que a segurança de dados é tão forte quanto seu elo mais fraco.
Essa é a parte que muita empresa ainda finge não ver. A cadeia de tratamento de dados virou uma rede: fornecedores de CRM, atendimento, antifraude, marketing, analytics, logística, autenticação, hospedagem, integrações legadas, e por aí vai. Se um desses elos falha, a marca que aparece para o consumidor é a do controlador, não a do fornecedor “invisível”.
O retrato do mercado: 52% ainda não tratam segurança como prioridade
O problema do caso não é apenas técnico, é cultural e orçamentário. A Pesquisa Setorial 2025 do MiTi (Markets, Innovation & Technology Institute) joga luz nesse cenário: 52% das empresas não colocam segurança como prioridade estratégica. E há um dado que explica muita coisa no dia a dia: 39% destinam menos de 5% do orçamento de TI para proteção.
Some a isso um indicador de maturidade que deveria ser básico: 34,78% das organizações não têm um responsável executivo de segurança, como um CISO. Sem dono claro, segurança vira checklist, não vira governança. E quando segurança não senta na mesa onde se decide compra de sistemas, contratação de terceiros e integrações, o incidente deixa de ser “se” e passa a ser “quando”.
Sistemas legados: o combustível invisível por trás dos incidentes
Na avaliação do advogado Rafael Federici, especialista em Direito Digital, dois fatores se combinam de forma perigosa. O primeiro é a terceirização da cadeia de suprimentos, que adiciona camadas de dependência e cria pontos cegos de controle. O segundo é a presença de sistemas legados, ambientes antigos, fragmentados, com integrações difíceis de mapear e, muitas vezes, com janelas maiores para falhas de atualização e de configuração.
O resultado é um cenário fértil para invasões: muita superfície exposta, pouca visibilidade ponta a ponta, e responsabilidades contratuais mal definidas. E, na LGPD, essa conta raramente fecha com “foi o fornecedor”. Para o titular do dado, a expectativa é simples: quem oferece o serviço protege o dado, inclusive quando usa terceiros.
O que muda na prática: contratos, governança e privacidade desde o projeto
Se a lição do caso Gol/Smiles pudesse ser resumida em uma frase, seria esta: segurança de terceiros precisa ser tratada como extensão do seu próprio ambiente. Isso passa por três frentes bem práticas.
- Governança e inventário real da cadeia: mapear quais fornecedores tratam quais dados, com quais integrações, por quanto tempo, e com quais controles mínimos obrigatórios.
- Contratos que não sejam decorativos: cláusulas de segurança e privacidade precisam ser auditáveis, com obrigações de notificação, prazos, requisitos de logging, padrões de criptografia, controles de acesso, testes periódicos e evidências.
- privacy by design e privacy by default: reduzir coleta ao necessário, usar segregação e minimização de dados, limitar retenção, e projetar fluxos para que vazamentos tenham “menos munição”. Se cópias de documentos precisam existir, por quê? Por quanto tempo? Com quais proteções? Quem acessa, e como isso é registrado?
Para o consumidor, o recado é duro, mas útil: se até empresas grandes podem ser surpreendidas por terceiros, a cobrança por transparência, governança e prevenção não pode ser só reação ao incidente. Ela precisa virar rotina.
