Recursos/White Papers

Opinião

O que fazer frente a um vazamento de dados?

É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção contra ataques digitais

Tailane Moreno Delgado Moro *

Publicada em 01 de novembro de 2018 às 09h37

Em um mundo cada vez mais digital, a proteção de dados e informações tem se tornado assunto constante nas empresas. Isso porque quaisquer descuidos com tais ativos podem gerar grandes perdas financeiras e enormes riscos para os profissionais e clientes.

A melhor forma de se proteger é investindo em políticas internas de segurança digital para minimizar os riscos decorrentes, que podem ser mapeados por um departamento de compliance que seja efetivo. Dentre as políticas e ações, tem-se a adoção de contratos de confidencialidade, realização de treinamentos internos, backup dos documentos e sistemas, controle de acesso às informações, dentre outras. Ainda, dependendo do caso, é possível utilizar-se de empresa externa de segurança de dados que proteja a empresa tanto de ataques físicos, quando de ataques digitais.

Além do desenvolvimento dessas políticas internas de segurança, existem obrigações legais específicas sobre o tratamento de dados e informações e que precisam ser observadas. Na União Europeia (UE), por exemplo, em 25/05/2018 entrou em vigor a nova Regulamentação Geral de Proteção de Dados (GDPR – General Data Protection Regulation), que traz normas de tratamento de dados dos cidadãos sediados dentro do bloco, sendo aplicável tanto para empresas baseadas na UE, quanto a companhias em todo o mundo que oferecem bens ou serviços e que processam dados referentes a pessoas na região.

Ainda, no Brasil, recentemente foi aprovada a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 15/08/2018), que se assemelha ao GDPR, pois visa regular a proteção dos dados pessoais, garantir direitos aos cidadãos e estabelecer regras claras sobre as operações de tratamento realizadas por órgãos públicos ou entidades privadas. A referida lei previu uma vacatio legis de 18 (dezoito) meses para entrar em vigor, a fim de que as empresas tenham tempo hábil para adaptar suas normas e processos internos de acordo com o regramento estabelecido.

Referidas legislações trouxeram uma série de obrigações às empresas. A GDPR, por exemplo, prevê para determinados casos a necessidade de criação de setor específico para a proteção de dados e a indicação de um encarregado para garantir a conformidade do tratamento de dados pessoais. Trata-se do DPO (Data Protection Officer), semelhante à figura do Encarregado pelo Tratamento de Dados Pessoais prevista na novel legislação brasileira.

Por isso, para a garantia da segurança é imprescindível que, desde já, haja a adoção pelas empresas e empresários de boas práticas de governança e compliance, visando à proteção de dados pessoais, visto que as novas legislações exigirão importantes adaptações nas rotinas de governança de dados e documentos.

Como proteger a sua empresa?
É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção destes riscos de ataques digitais, pois, uma vez ocorridos, os danos podem ser imensuráveis e de difícil reparação.

Uma das formas é instituindo um programa de compliance efetivo, que tem por objetivo primordial reduzir os riscos da empresa e, por conseguinte, de seus diretores e sócios. Alguns dos pilares do programa, principalmente a Avaliação de Riscos, Monitoramento e Auditoria e Due Dilligence, são facilitadores para que a empresa desenvolva regras de boas práticas e de governança voltadas ao estabelecimento de medidas de segurança, técnicas e administrativas, como já exemplificado anteriormente.

Portanto, o programa de compliance pode ser um importante aliado para que riscos, como o vazamento de dados e informações, sejam mapeados, classificados e tratados de forma preventiva, por meio de políticas que visem otimizar, proteger e alavancar a informação como um dos bens das empresas. Com essa prática, certamente riscos de processos e danos de reputação serão evitados, a empresa poderá antever cenários e tomar decisões estratégicas.

compliance

Meus dados foram vazados, e agora?
Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal.  Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).

Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados.

Para as empresas investigadas, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito.

Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados.

 

(*) Tailane Moreno Delgado Moro é advogada responsável pelas áreas de Compliance, PMO (Project Management Office) e DHO (Desenvolvimento Humano Organizacional) do IBPT – Instituto Brasileiro de Planejamento e Tributação



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui