Três pesquisadores de segurança — Ian Carroll, Gal Nagli e Sam Curry — demonstraram uma vulnerabilidade grave no portal de categorização de pilotos da FIA. Em dez minutos, a partir de um cadastro comum, foi possível elevar privilégios e acessar dados sensíveis, inclusive o passaporte de Max Verstappen. Não é boato: os detalhes técnicos foram publicados pelos próprios pesquisadores e a FIA confirmou o incidente.

A combinação de um erro elementar de autorização com um alvo de alto valor transformou um formulário online em porta de entrada para informações pessoais e internas. O timing torna o caso ainda mais relevante: às vésperas do GP em Interlagos, vale perguntar — como a legislação brasileira reagiria a uma falha desse calibre?

Tecnicamente, tratou-se de mass assignment: a API devolvia e aceitava campos de função (roles) que, ao serem reenviados pelo cliente, promoviam a conta a administradora. Com o perfil elevado, tornou-se viável consultar documentos de identidade, licenças e contatos, além de visualizar comunicações internas de avaliação de pilotos. É a anatomia de um clássico: controle de acesso implantado do lado errado, testes negativos insuficientes e ausência de validações robustas no servidor. Quando o esqueleto da autorização cede, todo o edifício da privacidade desaba junto.

A linha do tempo também importa. Segundo os relatos, a falha foi reportada à FIA em 3 de junho; o portal saiu do ar rapidamente e a correção veio na sequência. Ao tornar o caso público agora, a entidade reconheceu o incidente, afirmou não haver evidência de uso malicioso além do teste e declarou ter notificado autoridades de proteção de dados e pilotos possivelmente afetados. O contraste entre “escopo potencial” e “escopo efetivo” é comum na forense digital, mas não diminui a gravidade do vetor.

Do ponto de vista jurídico, a resposta inicial da FIA dialoga com o que exigem marcos como o GDPR e, por analogia, a LGPD brasileira: medidas técnicas e administrativas proporcionais ao risco, comunicação tempestiva aos titulares e, quando cabível, às autoridades competentes. Mas conformidade não é folheto; é prática auditável. Em episódios assim, o “como” corrige pesa tanto quanto o “que” corrige: trilhas de auditoria imutáveis, segregação de funções, MFA consistente, code review com foco em autorização, testes de invasão recorrentes e feature flags que permitam desativar rapidamente superfícies de ataque. Maturidade se prova em evidência, não em slogans.

E se fosse no Brasil? A LGPD determina que incidentes com risco ou dano relevante aos titulares sejam comunicados ao órgão regulador e aos próprios titulares. Desde abril de 2024, o Regulamento de Comunicação de Incidente fixou prazo claro: até três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais, com possibilidade de complementação fundamentada em até vinte dias úteis. A comunicação deve trazer, entre outros pontos, a natureza e a categoria dos dados afetados, perfil dos titulares, medidas de segurança aplicadas, riscos e providências adotadas. A ANPD pode instaurar procedimento específico inclusive quando toma ciência por outras vias, e os prazos são em dobro para agentes de pequeno porte.

A aplicabilidade da LGPD alcança operações realizadas no território nacional, a oferta de bens ou serviços a pessoas localizadas no Brasil, ou dados coletados aqui. Em um GP em Interlagos, com credenciamento, logística e plataformas voltadas ao público brasileiro, o enquadramento é direto, ainda que haja controladores sediados no exterior; a lei se aplica e as comunicações devem ocorrer por meio do formulário eletrônico oficial da ANPD.

Quanto a consequências, além da orientação para mitigar danos e reforçar controles, a ANPD dispõe de um regulamento de dosimetria para sanções administrativas, que vão de advertência e publicização da infração a multa de até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração, entre outras medidas como bloqueio ou eliminação de dados. A experiência recente mostra que a autoridade já aplica penalidades e analisa o porte econômico, reincidência e cooperação do agente no cálculo da multa.

Há ainda um detalhe frequentemente ignorado em eventos globais: as transferências internacionais de dados. Em cenários de coparticipação entre entidades no Brasil e no exterior, o fluxo deve observar o regulamento específico da ANPD — cláusulas-padrão, avaliação de garantias e análise do risco. Brechas como a da FIA expõem não só a superfície técnica, mas a governança de transferência e retorno de dados entre jurisdições.

O recado final permanece incômodo — e necessário. De nada adianta marketing de segurança no front stage se a API de retaguarda promove administradores por convenção de campo. Em um esporte que vive de precisão, o padrão de diligência não pode oscilar: excelência na pista exige excelência no backend. No Brasil, com prazos objetivos e fiscalização ativa, o cronômetro corre contra o improviso. Quem corta a chicane da autorização acaba descobrindo que a penalidade não é virtual; ela chega com hora marcada.

Alexander Coelho — sócio do Godke Advogados, especialista em Direito Digital, Cibersegurança e IA. Pós-graduaddo em Digital Services pela Faculdade de Direito de Lisboa (Portugal) e membro da Comissão de Privacidade e Proteção de Dados e Inteligência Artificial da OAB/SP.