Na última segunda-feira, 28, um apagão de grandes proporções atingiu diversas regiões de Portugal e Espanha, afetando energia elétrica e serviços de telecomunicações. A falha começou por volta das 11h30 (horário local) e impactou sistemas essenciais como transporte público, hospitais e redes móveis. Nos aeroportos, os efeitos foram imediatos: em Lisboa, operações foram suspensas à tarde; no Porto e em Faro, geradores de emergência sustentaram parte dos serviços. Em Madrid e Barcelona, também houve paralisações e instabilidades.
Embora as causas exatas ainda estejam sob investigação, o episódio reacende discussões sobre a vulnerabilidade das infraestruturas críticas diante de falhas digitais e ciberataques — um tema que envolve não apenas desafios técnicos, mas também jurídicos.
A advogada Narllyane Guedes, da Abreu, Barbosa e Viveiros (ABV) Advogados, avalia que “o recente apagão que atingiu Portugal e Espanha expôs, de forma contundente, a fragilidade das infraestruturas críticas diante de ameaças cibernéticas. O impacto sobre aeroportos, hospitais e redes de telecomunicações revelou o quanto sistemas essenciais estão interligados e vulneráveis, gerando uma reflexão: como o Brasil trata a proteção dessas estruturas vitais diante de riscos digitais?”
Narllyane explica que o Brasil tem avançado na regulamentação da proteção de infraestruturas críticas, citando marcos como a Lei Carolina Dieckmann (Lei nº 12.737/2012), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a Política Nacional de Cibersegurança (PNCiber) e a Estratégia Nacional de Segurança Cibernética (E-Ciber). Porém, ressalta que “não há uma lei nacional que defina claramente o que são infraestruturas críticas nem que imponha obrigações específicas de proteção cibernética a todos os setores envolvidos, como energia, transportes, telecomunicações, etc.”
Sobre as responsabilidades legais das empresas privadas que operam serviços essenciais, a advogada afirma: “Empresas privadas que atuam em setores essenciais — como energia, telecomunicações, transportes e saúde — devem seguir normas regulatórias setoriais, muitas das quais já preveem exigências mínimas de segurança cibernética, continuidade de serviços e planos de contingência. Além disso, podem ser responsabilizadas administrativamente, por meio das agências reguladoras (como ANEEL, ANATEL, ANTT), caso não cumpram padrões técnicos ou falhem em garantir a continuidade dos serviços; civilmente, por danos causados a terceiros, consumidores ou ao meio ambiente, especialmente se ficar comprovada omissão ou negligência em medidas de prevenção; criminalmente, em casos graves, se houver dolo ou culpa grave, especialmente se as falhas resultarem em risco à vida, à saúde pública ou à segurança nacional.”
Para Narllyane Guedes, o Brasil ainda não está totalmente preparado para lidar com eventos como o apagão europeu. Apesar das estratégias e grupos de resposta já existentes, faltam, segundo ela, mecanismos mais robustos de prevenção, resposta ágil e, principalmente, cooperação internacional. “Enquanto países como Portugal já reconhecem explicitamente a cibersegurança como um direito fundamental, no Brasil esse reconhecimento ainda é apenas implícito, derivado dos direitos à segurança, à privacidade e à dignidade da pessoa humana”, ressaltou.
