Entrevista para a Análise Editorial. Leia a íntegra
Num mundo cada vez mais digitalizado, os ataques cibernéticos se tornam não apenas mais frequentes, mas também mais sofisticados e devastadores. De acordo com o Panorama de Ameaças da América Latina, a cada minuto ocorrem 1.379 ataques hackers na região.
Nas últimas semanas, o Brasil foi palco de dois episódios que chamaram a atenção. O primeiro envolveu o vazamento de dados no site da Centauro, rede varejista de artigos esportivos. O segundo, e maquis grave, foi um ataque à C&M Software, empresa responsável por interligar bancos ao sistema PIX do Banco Central, resultando em um prejuízo que ultrapassa meio bilhão de reais.
Diante desses casos, surge uma pergunta central: quem responde quando a segurança falha e os dados dos usuários são expostos ou desviados?
Para entender os desdobramentos jurídicos e os limites de responsabilidade à luz da Lei Geral de Proteção de Dados (LGPD), a Análise ouviu especialistas em segurança da informação, direito digital e proteção de dados.
Dever de segurança e compliance à luz da LGPD
A Lei Geral de Proteção de Dados (LGPD) impõe, em seu art. 46, o dever de adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e incidentes como perda, vazamento ou destruição.
Para o advogado Luis Felipe Tolezani, da Lopes & Castelo Sociedade de Advogados, o chamado “dever de segurança” previsto na LGPD está relacionado à capacidade da empresa de implementar uma estrutura mínima de proteção de dados. “A lei exige a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Isso inclui, por exemplo, controle de acesso, criptografia, segmentação de redes e treinamentos de conscientização”, explica.
Tolezani afirmou que já há um entendimento consolidado sobre práticas mínimas que devem ser adotadas pelas empresas para garantir a segurança dos dados e evitar responsabilizações. “Já se reconhece um padrão mínimo de maturidade digital que toda empresa deveria observar para reduzir riscos e evitar responsabilizações.”
Entre essas práticas, ele aponta: “inventário de dados e o mapeamento de riscos, a adoção de políticas claras de privacidade e segurança, a nomeação formal de um encarregado pelo tratamento de dados (DPO), a formalização de contratos com cláusulas específicas de proteção de dados, a existência de um plano de resposta a incidentes, a realização periódica de testes de vulnerabilidade e a manutenção de backups seguros.” Para o advogado, “o treinamento contínuo das equipes é indispensável para garantir que as práticas adotadas estejam internalizadas na cultura da organização.”
