Proteção de dados: sua empresa está preparada para não sofrer com ataques e sanções?

O tema da proteção de dados pessoais ganhou notoriedade a partir do escândalo envolvendo o vazamento de informações de usuários do Facebook para a consultoria britânica Cambridge Analytica, que supostamente teria influenciado nas eleições presidenciais norte-americanas de 2016. O caso ganhou tamanha repercussão à época que o fundador da rede social, Mark Zuckerberg, foi convocado a depor no Congresso norte-americano e assumiu falhas no sistema de segurança do aplicativo.

Mais recentemente, a companhia aérea British Airways foi multada em R$ 900 milhões em razão do vazamento de dados de milhares de clientes, no que é tida como a maior penalidade pecuniária já aplicada envolvendo o tema da proteção de dados pessoais. O recente ataque à UNICAMP em que dados privados de alunos foram hackeados e vazados mostra que esse tipo de problema já é uma realidade também por aqui.

No Brasil, a responsabilidade das empresas protegerem dados de seus clientes foi regulada por meio da Lei nº 13.709, de 14 de agosto de 2018, apelidada de Lei Geral de Proteção de Dados (LGPD). Desde a sua publicação, muito já se escreveu sobre o tema, mas nosso objetivo não é o de fazer uma análise detalhada do texto da nova lei, mas sim verificar de que modo os conceitos nela previstos podem ser implementados na prática pelas empresas. Afinal, de nada adianta uma documentação jurídica bem feita se a parte prática (TI, Cybersecurity, etc.) não for eficiente.

O princípio fundante da LGPD é a proteção aos direitos constitucionais fundamentais de liberdade e de privacidade da pessoa. Nesse sentido, as informações que as empresas coletam sobre seus clientes não pertencem às empresas e, portanto, não podem ser utilizadas ou transferidas (a lei utiliza o termo genérico “tratamento de dados”) a menos que haja expresso consentimento dos clientes.

A partir do artigo 46 e subsequentes, a LGPD passa a tratar da obrigação da adoção de medidas de segurança aptas a “proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Infrações às regras podem sujeitar a empresa a multa de até 2% do faturamento do último exercício, limitado a R$ 50 milhões.

O Brasil já é o quinto país mais atacado no mundo, com estimativas de dezenas de bilhões de ataques cibernéticos somente nos últimos três meses. E este número continua crescendo. Os criminosos cibernéticos estão cada vez mais espertos e criativos, utilizando muita Inteligência Artificial (IA) e automação.

O que fazer, portanto, para evitar que ocorra vazamento de dados na prática? Na verdade, sua organização deve adotar a máxima de que ser atacado não é uma questão de “se” e sim de “quando”. Como os dados atualmente são armazenados em meios digitais, as empresas precisam contar com o trabalho do especialista em segurança digital ou cybersecurity.

Como em qualquer área, o primeiro passo é diagnosticar a sua situação atual.

1. Comece com uma avaliação da postura cibernética, para checar o quão preparadas estão as pessoas, processos e tecnologias de sua organização na defesa contra ataques cibernéticos.
2. Para avaliação de privacidade e proteção de dados, recomendamos utilizar a LGPD como um guia compreensivo dos aspectos que devem ser endereçados. Além disso, a LGPD entrará em vigor em agosto deste ano, já com previsão de multas vultosas.
3. Por fim, avaliação de tecnologia de defesa, por meio da realização de testes de penetração. O que é melhor do que ter hackers do bem te ajudando a identificar áreas potenciais de ataque e melhorar a sua defesa?

Após esta avaliação inicial, deve-se mapear as ameaças em relação aos riscos de negócios da organização, baseado na severidade e prioridade dos potenciais impactos. Uma vez priorizado as áreas de atuação, buscam-se soluções para fortalecer a defesa por meio da: reconfiguração das ferramentas existentes, melhoria de processos ou treinamento da sua equipe. Quando necessário, também se busca uma solução tecnológica única para defender a área exposta ou automatizar algumas defesas.

Após implementar as soluções priorizadas, as empresas (incluindo escritórios de advocacia e prestadores de serviço em geral) estarão melhor preparadas para a batalha do dia a dia, em que as ameaças estão em constante evolução. A melhor aposta é ser proativo e implementar um sistema de monitoramento de comportamentos atípicos. De tempos em tempos, é importante reavaliar o sistema de defesa face às novas ameaças, atualizando e melhorando a proteção dos dados da empresa.

E se o ataque acontecer, tenha uma equipe pronta para responder de forma rápida, com profissionais especialistas em defesa cibernética, um negociador com experiência com criminosos, no caso de pedido de resgate, um financeiro que entenda como estruturar um pagamento em Moeda virtual, assessoria de comunicação para estabelecer diálogo com todos os stakeholders e assessoria jurídica, para providências legais.

Só não dá para ficar parado esperando o problema aparecer, afinal, faltam apenas seis meses para a LGDP entrar em vigor.

Gabriel Zugman é sócio de DMGSA – Domingues Sociedade de Advogados, escritório especializado na assessoria a famílias empresárias.

Nelson Wang é Gerente Geral da Armour CyberSecurity para a América Latina e Caribe.