Cybersecurity, porque virou um tema de conselho?

Data Privacy Consultors

2021-10-29 7 min read

Os ataques cibernéticos do tipo ransomware e pishing, que vêm assolando as empresas ultimamente, aumentaram significativamente em tempos de pandemia - período em que o trabalho home-office foi implementado em grande escala- resultando num volume maior de acesso remoto, levando a uma exposição importante dos dados e expondo a fragilidade das empesas e usuários frente às constantes invasões sofridas nos sistemas.

A esse respeito, veja alguns exemplos de notícias que nos impelem a um olhar mais acurado no que diz respeito a como gerenciamos nossos dados numa época em que estes têm se tornado o “novo petróleo”:

Segundo a consultoria alemã, Roland Berger, o Brasil é o 5º pais no mundo com mais registro de ataques de Hackers contra empresas. Nesse diapasão, se considerados apenas os casos de “ransomware“, que são aqueles que envolvem o bloqueio do sistema em troca de um pagamento de resgate, já foram 9,1 milhões de casos somente em 2021.

Em julho desse ano (2021), a CNN também noticiou que nosso país esta na mira dos hackers, mas só 1/3 das empresas se protegem contra ataques, citando ainda o caso da subsidiària da JBS, que pagou recentemente US$ 11 milhões para recuperar seu banco de dados.

Em que pese o prejuízo gerado por tais ataques consideráveis, o resgate após phishing é um prejuízo menor, pois uma das coisas mais inesperadas que se pode observar no já referido estudo foi que apenas 20% do prejuízo causado por ransomware é por conta do resgate. Os outros 80% são de investimentos de emergência em medidas de segurança, danos por perda de equipamento, e, principalmente, danos por perda de horas de trabalho.

Só de ler essas notícias que nos chegam a diário, já se percebe que o problema de cibersecurity não se restringe mais ao departamento de TI das empresas, devendo ser seriamente considerado pela Alta Gerência e seus Conselhos, pois, hoje em dia não se trata de SE A EMPRESA TERÁ UM INCIDENTE DE SEGURANÇA, mas de, QUANDO ESSE INCIDENTE OCORRERÁ!!

Precisamos entender que vivemos numa sociedade baseada em dados, em que a maior parte de nossas relações econômicas, comerciais, sociais e profissionais acontecem no meio virtual, ou seja, por meio da internet, por onde as pessoas vão deixando os rastos de sua personalidade e dados em geral. Essas informações se transformam em verdadeiros ativos, tanto que o historiador e escritor israelense Yurval Harari ironizou acertadamente em um trecho de seu livro “Sapiens - Uma Breve História da Humanidade”[1]:

"No século XXI, nossos dados pessoais são, provavelmente, o recurso mais valioso que ainda temos a oferecer, e os entregamos aos gigantes tecnológicos em troca de serviços de e-mail e de vídeos com gatos engraçadinhos”.

A reflexão seguinte de Harari reside na convicção de que, no corrente século XXI, tanto a terra, quanto a maquinária, ficarão irreversivelmente para trás, passando os dados ao lugar de ativo principal do planeta, concentrando-se o esforço político no controle do fluxo desses dados.

Podemos fazer um paralelo com o ocorrido com as tribos nativas africanas, ou a dos nossos aborígenes americanos, diante dos países colonizadores europeus, quando trocavam ouro, prata e outros metais extremamente preciosos por meras quinquilharias de pouco ou nenhum valor.

Desde o século passado, nosso país vem perdendo "oportunidades valiosas de investimento internacional em razão do isolamento jurídico em que se encontra por não dispor de uma lei geral e nacional de proteção de dados pessoais (LGPD).

E é exatamente através dessa dor que surgiu a necessidade de regular esse fluxo de dados, equilibrando o jogo de forças entre o cidadão que quer ver seus dados protegidos e respeitados, inclusive com segurança da informação por meio de tecnologia adequada, e do outro lado, as empresas públicas e privadas que precisam de regras claras para que possam fazer o adequado uso desses dados pessoais.

Para os cidadãos, titulares dos dados, a LGPD estabelece direitos, como, por exemplo, saber como e com quem seus dados são compartilhados e com qual finalidade, decidindo, inclusive, se autorizam ou não esse tratamento. Já para as empresas, a LGPD traz uma série de obrigações, especialmente para àquelas que tratam dados de clientes como escopo principal dos seus negócios.

PROBLEMAS ADVINDOS DA NÃO ADEQUAÇÃO:

Quando se fala em adequação, estamos falando da empresa revisitar todos os seus processos, começando por identificar todos os dados tratados e se ela realmente necessita deles.

A partir do advento da Lei 13.709/18 (LGPD) que entrou em vigor em setembro de 2020, sendo influenciada por sua precursora europeia, a GDPR, ambas respondendo uma demanda de caráter internacional que visa garantir maior segurança e proteção ao imenso fluxo de dados que trafega entre os países e as organizações, as empresas terão que criar canais de comunicação direta com os titulares, como clientes e funcionários por exemplo, tendo que nomear um Encarregado de dados, que será o responsável pelos dados pessoais que são tratados pela empresa. Também precisará rever seus contratos, estabelecendo novas regras para os parceiros comerciais.

Tudo isso porque desde 1 de agosto de 2021 a LGPD conta com um órgão fiscalizador, a ANPD (Autoridade Nacional de Proteção de Dados), que tem um papel regulador, fiscalizador e sancionador, que, caso as empresas não se adequem, sofrerão serias consequências em razão de sua inércia.

Além da ANPD, todos os órgãos tradicionalmente competentes, como o PROCON e o Judiciário, também aplicarão essa lei, podendo cobrar o compliance das empresas. Inclusive, recentemente tivemos uma importante decisão no TRT de São Paulo[2] (Tribunal Regional do Trabalho) com abordagem na LGPD, em que o tribunal decidiu a favor da empresa, confirmando a demissão por justa causa de um funcionário que levou dados pessoais protegidos, tratados pela empresa, para o ambiente familiar, ainda que para trabalho remoto, por descumprir com as regras internas de proteção de dados da empresa.

Outra consequência além dessas de origem regulatória, seria os danos materiais, financeiros e é de reputação sofridos por um eventual ataque cibernético que exponha dados pessoais.

Ante o exposto, é de vital importância que a empresa faça tudo que tiver ao seu alcance, inclusive em relação a terceiros, para evitar ataques cibernéticos e qualquer tipo de incidentes, porque a LGPD é muito dura neste aspecto, pois ela fixa responsabilidade em toda a cadeia das empresas envolvida naquele fluxo de dados. No caso, por exemplo, de um vazamento ou exposição indevida, decorrente ou não de um ataque cibernético, a empresa certamente será multada, receberá sanções da ANPD e de outros órgãos, como já mencionado. As multas podem chegar a 2% do faturamento de uma empresa ou grupo, chegando até R$ 50.000.000,00 (cinquenta milhões de reais) pelo vazamento dos dados, podendo, inclusive, proibir o tratamento de dados como sanção. Há ainda um impacto indireto no que tange à exposição negativa da imagem da empresa, podendo trazer um prejuízo irreparável à sua reputação frente a seus clientes e associados.

Importante observar que, embora Normas Técnicas de procedimentos para o tratamento de incidentes, como ISO 27.001 entre outras, já eram promovidas pelos departamentos de Segurança da Informação das empresas, agora, pela primeira vez, esses incidentes estão sendo exigidos pela lei, quando ressalta que as empresas precisam dispor de um plano de incidente para emergências que as permitam tomar medidas imediatas para a mitigação de um eventual problema de vazamento de dados, o que eleva os cuidados com essas questões, para além das questões procedimentais.

Um outro ponto de destaque é que a lei divide as figuras do Controlador e do Operador dos dados pessoais, e isso, para fins de responsabilidade, é fundamental, porque o operador é aquele que, normalmente, vai processar as informações, ou seja, o prestador de serviços. Mas, caso esse operador realize alguma operação indevida, o Controlador, embora não dando causa, será responsabilizado lá na ponta. Por isso, é fundamental que as empresas se atentem para a necessidade de rever suas políticas e contratos para delimitar essas responsabilidades.

A lei alcança igualmente dados armazenados ANTES da LGPD, devendo a empresa gerenciar os dados que dispõe, de modo a minimizar, anonimizar e/ou excluir aqueles dados que já não cumprem a finalidade para qual foram coletados, uma vez que a lei exige que o tratamento de dados só ocorra dentro da base legal estipulada por ela, cujo escopo é limitado a dez situações especificas, como por exemplo, o legitimo interesse, que justifica as ações de marketing ou o cumprimento de obrigação legal que acontece, como quando a empresa se vê obrigada a guardar certos dados para efeito fiscal, previdenciário etc., o que, por sinal, nos mostra que os direitos do titular não é um direito absoluto.

Como vimos, a lei não impede o tratamento de dados, mesmo nos casos de uso para efeito de marketing, desde que esse tratamento seja feito com o devido registro, responsabilidade e transparências para que o titular de dados tenha segurança quanto ao que está sendo feito de seus dados.

Por último, mas não menos importante, cabe pontuar que a grande tônica da LGPD é a Accountability, ou seja, a capacidade que a organização tem de demonstrar que ela tomou todas medidas necessárias, inclusive com relação aos terceiros. Esse seria o caso de a empresa ter que provar que ela tomou as medidas de segurança necessárias com o operador de sistemas, devendo, para tanto, ter uma política com as regras claras sobre o que os seus terceiros podem ou não fazer e exigir uma declaração, estando ciente e de acordo com a politica da empresa. Ademais, o próprio contrato entre as parte deve conter regras específicas em relação à operação e manutenção dos sistemas, cabendo até, em alguns casos, a configuração de um Termo específico, constando as regras de processamento do uso de dados pessoais com limitações claras de responsabilidade, sendo que, em casos mais sensíveis, caberia até mesmo auditar esse terceiro, sob suspeita de incidente, devendo todas essas possibilidades e regras estar expostas no contrato assinado pelas partes.

Visando estabelecer uma mudança dos hábitos e comportamento da Alta Direção e dos funcionários da empresa, uma boa prática seria a realização periódica de treinamentos de conscientização sobre o compliance nos tratamentos de dados pessoais, onde os terceiros sejam convidados a participar.

[1] Referência Bibliográfica: HARARI, Yuval Noah. Sapiens: Uma breve história da humanidade Porto Alegre: L&PM Editores S. A., 2018.
[2] TRT 2-Processo ATOrd-10000612-09.2020.5.02.0043, DO 21/06/2021.

©Copiryght 2021 - Ramon Felipe - Todos os Direitos Reservados