A proteção digital deixou de ser um luxo para se tornar uma obrigação ética e legal de qualquer instituição cultural. É com esta premissa que a Professora Ana Cecília Rocha Veiga, da Universidade Federal de Minas Gerais (UFMG), lança o Manual de Cibersegurança e Privacidade de Dados para Instituições GLAM (versão 1.0, março de 2026), uma publicação gratuita, acessível e de enorme relevância para todos os que trabalham em galerias, bibliotecas, arquivos e museus.
O que são as GLAM e por que estão em risco?
GLAM é um acrónimo do inglês para Galleries (Galerias), Libraries (Bibliotecas), Archives (Arquivos) e Museums (Museus) — as unidades de informação e cultura que preservam a memória coletiva das sociedades. Estas instituições guardam acervos de altíssimo valor histórico e monetário, recolhem dados pessoais de visitantes e colaboradores, e muitas vezes operam com recursos humanos e tecnológicos limitados — tornando-se alvos apetecíveis para cibercriminosos.
De acordo com o manual, as razões para um ataque a uma GLAM vão muito além do vandalismo digital: um cracker pode utilizar a boa reputação do website institucional para melhorar o posicionamento de sites ilegais, inserir conteúdo criminoso, espionar a movimentação do acervo para planear roubos físicos ou extorquir informação financeira de doadores e associados. O mercado ilegal de obras de arte, livros raros e documentos históricos é, recorde-se, um dos mais lucrativos do mundo.
Os três pilares da cibersegurança
O manual parte de uma definição clara e rigorosa: a cibersegurança assenta em três pilares fundamentais:
- Confidencialidade — proteção dos dados contra divulgação não autorizada (intimamente ligada à LGPD, no Brasil, e à GDPR, na União Europeia)
- Integridade — garantia de que os dados são precisos e não foram alterados sem autorização
- Disponibilidade — assegurar que os dados estão acessíveis aos utilizadores autorizados, quando necessário
Em Portugal, a nova legislação de cibersegurança que transpõe a Diretiva NIS2 europeia entrou em vigor a 3 de abril de 2026, obrigando entidades públicas e privadas a adotar medidas preventivas, com multas que podem atingir os dez milhões de euros ou 2% da receita anual global. As bibliotecas e arquivos públicos enquadram-se neste novo regime, o que torna a leitura deste manual ainda mais urgente para as equipas portuguesas.
Boas práticas para utilizadores: por onde começar?
A maioria das vulnerabilidades de segurança não vem de fora — vem de dentro. O utilizador é, frequentemente, o elo mais fraco da cadeia. O manual oferece um checklist detalhado e prático, do qual destacamos as recomendações mais imprescindíveis:
- Usar um Gestor de Palavras-passe (como o 1Password), que gera e armazena credenciais aleatórias e seguras, evitando repetições ou palavras-passe óbvias
- Ativar a Autenticação de Dois Fatores (2FA) em todos os serviços que a ofereçam — é uma das medidas com maior impacto na proteção das contas
- Adotar passkeys (chaves de acesso), uma tecnologia mais segura que as palavras-passe tradicionais, que combina criptografia com biometria ou PIN, sem necessidade de memorizar credenciais
- Nunca partilhar contas: é comum encontrar em instituições GLAM um post-it colado ao computador com o login e a palavra-passe do repositório digital — uma prática que o manual classifica como urgentemente a banir
- Ter três endereços de e-mail distintos: um profissional, um pessoal e um terceiro para plataformas menos confiáveis
O que os gestores precisam de saber
O manual dedica uma secção aprofundada aos gestores de GLAM, com orientações que vão da prevenção de ameaças internas à gestão de crises. Entre as medidas mais relevantes:
- Desativar imediatamente os acessos de ex-colaboradores assim que saem da instituição
- Incluir um subitem de cibersegurança no Plano Diretor da GLAM, com mapeamento de riscos, plano de resposta a incidentes e auditoria periódica
- Evitar redes sociais comerciais (como grupos de Facebook) para comunicação interna da equipa; preferir plataformas seguras como o Basecamp ou, idealmente, uma intranet própria em WordPress
- Realizar exercícios de hacking ético para testar o comportamento da equipa perante ataques simulados, nomeadamente tentativas de phishing e engenharia social
- Remover placas identificativas de salas técnicas (como “Sala de Informática” ou “Reserva Técnica”), que orientam potenciais intrusos dentro das instalações
Websites e repositórios digitais: manter tudo atualizado
Uma das advertências mais contundentes do manual prende-se com a gestão de plataformas digitais a longo prazo. Um website em WordPress ou um repositório no Tainacan funciona como um organismo vivo: sem manutenção constante, torna-se rapidamente um alvo fácil para cibercriminosos. A desatualização de sistemas é uma das principais causas de vulnerabilidade.
Para quem não tem condições de manter protocolos sofisticados, o manual sugere um conjunto mínimo e eficaz de medidas: usar logins pouco óbvios e palavras-passe fortes; limitar ao máximo o número de utilizadores com perfil de administrador; instalar os plugins Wordfence (segurança) e UpdraftPlus (backups); e manter sempre o WordPress, temas e plugins atualizados. Antes de criar qualquer plataforma digital, a equipa deve responder honestamente a três perguntas essenciais: há alguém comprometido a mantê-la indefinidamente? Existe orçamento permanente? A equipa tem a competência técnica necessária?
Inteligência artificial: o novo desafio
O manual dedica uma secção específica à Inteligência Artificial, alertando para riscos que muitos gestores ainda desconhecem. Partilhar um plano estratégico ou museológico com uma ferramenta de IA para melhorar a gramática, por exemplo, significa entregar informação confidencial da instituição a empresas terceiras — com consequências imprevisíveis para a propriedade intelectual e para a segurança interna.
O manual alerta igualmente para os perigos dos equipamentos AIoT (Artificial Intelligence of Things): robôs de limpeza ou sistemas de monitorização ambiental com IA podem fornecer, inadvertidamente, fotografias, áudio e mapeamento das galerias e reservas técnicas a potenciais atacantes. A recomendação é clara: adotar a IA com cautela, um passo de cada vez, com informação técnica sólida e protocolos éticos bem definidos.
Privacidade de dados: uma obrigação legal e ética
Vivemos na era do capitalismo de vigilância — conceito central no manual —, em que a experiência humana é a matéria-prima gratuita que alimenta o lucro das grandes empresas tecnológicas. As GLAMs, enquanto instituições comprometidas com o interesse público, têm a obrigação de resistir a esta lógica e de proteger ativamente os dados pessoais que recolhem.
Para estarem em conformidade com a LGPD (Brasil) e a GDPR (União Europeia), as instituições devem apresentar nos seus websites documentos como: Política de Segurança da Informação, Política de Privacidade e Proteção de Dados, Plano de Resposta a Incidentes e Plano de Continuidade de Serviços. Não se trata apenas de burocracia: estas políticas são o reflexo de uma cultura institucional que respeita os direitos fundamentais dos cidadãos.
Um recurso gratuito e indispensável
O Manual de Cibersegurança e Privacidade de Dados para Instituições GLAM da UFMG preenche uma lacuna real: a maioria das publicações sobre este tema dirige-se a especialistas em TI, com vocabulário técnico inacessível aos profissionais de bibliotecas, arquivos e museus. Esta publicação, disponível gratuitamente em webmuseu.org, é uma leitura obrigatória para qualquer profissional que trabalhe com acervos digitais, repositórios ou simplesmente gerencie um website institucional.
A cibersegurança não é apenas uma questão técnica — é parte integrante da missão de salvaguarda que define o trabalho das instituições GLAM. Proteger os dados é proteger a memória coletiva que estas instituições têm o dever de preservar.
Referência: VEIGA, Ana Cecília Rocha. Manual de Cibersegurança e Privacidade de Dados para Instituições GLAM. UFMG – Escola de Ciência da Informação, Curso de Museologia. Versão 1.0, março de 2026. Disponível em: webmuseu.org
