A Lei Geral de Proteção de Dados, a LGPD, vigente no Brasil desde setembro de 2020, determina regramento específico para o tratamento de dados pessoais, prevendo direitos, deveres e obrigações relacionadas às operações em que ocorram a fluência destes dados.
Dentre suas implicações, a Lei impõe ao setor empresarial a adoção de medidas técnicas e administrativas, a fim de estabelecer padrões suficientes de segurança, aptos a proteger os dados pessoais, coletados interna e externamente, de acessos não autorizados, situações de eliminações ou destruições culposas ou dolosas, assim como, a comunicação, alteração ou difusão de dados, que conflitem com a legislação.
A Lei adentra em território nacional, ao mesmo tempo em que uma onda crescente dos chamados ataques de sequestro digital (ransomware) torna-se uma assustadora realidade para as empresas do País.
Estes ataques, que por diversas vezes ocorrem através de acesso indiscriminado, se espalham pelos servidores da organização e capturam os dados ali encontrados, sendo imposta a condicionante de liberação, mediante pagamento (na maioria das vezes em criptomoedas), sob a ameaça de vazamento dos bens digitais.
Tal cenário decorre de uma realidade ainda mais preocupante. Em pesquisa realizada pela Mastercard (“Barômetro da Segurança Digital”) restou demonstrado que, apesar de constantes ameaças, seja através de fraudes ou ataques digitais, poucas das empresas entrevistadas investiram de forma sólida em Cibersegurança.
Neste mesmo sentido, em estudo realizado pela Deloite com 122 empresas, constatou-se que apesar de 75% das organizações investirem em segurança, os valores ainda são consideravelmente baixos, especialmente quando comparados com os pedidos de resgate, decorrente destes ataques cibernéticos.
Os danos causados por uma invasão sistemas, que pode paralisar as operações da empresa por dias, não se restringem aos prejuízos monetários, observando se nestas situações extremo impacto reputacional da organização frente aos seus clientes, parceiros comerciais, fornecedores e acionistas, que a depender da extensão do incidente, podem ser irrecuperáveis.
Logo, o setor empresarial deve preocupar-se, desde a concepção de seus negócios e produtos, em oferecer experiências seguras aos seus titulares e colaboradores, com empenho em garantir medidas preventivas e emergenciais, à eventuais incidentes de informações, independente do porte da empresa e/ou da volumetria de suas bases de dados.
Desta maneira, orienta-se pela observação contínua dos seguintes pontos:
- Manter atualizados softwares e sistemas operacionais;
- Utilizar soluções confiáveis de antivírus;
- Usar senhas fortes;
- Não abrir anexos ou clicar em links de remetentes desconhecidos;
- Evitar usar rede Wi-Fi não segura em locais públicos.
- Avaliações periódicas de vulnerabilidade que abranjam todo o ecossistema da empresa, ou seja, que inclua fornecedores e prestadores de serviço e classifique prioridades de risco;
- Criação de times vermelho (ataque) e azul (defesa).
Ainda nesta esfera, a LGPD não determina parâmetros mínimos, mas deixa claro que tão importante quantos as medidas técnicas são as medidas de conscientização de seus colaboradores e parceiros internos, no intuito de prover orientações sobre o papel que eles desempenham na proteção dos sistemas da empresa, por meio de treinamento continuado.
Parte das medidas de boas práticas de cibersegurança, devem abarcar a adoção de política especifica de segurança da informação, atualizada com periodicidade, além da criação de plano de respostas à incidentes, no qual seja pormenorizada as áreas e responsabilidades envolvidas, a fim de mitigar os ricos inerentes aos ataques cibernéticos e descumprimentos legais.
Gabriela Alcântara
Gerente de Direito Digital pela Lopes & Castelo Sociedade de Advogados
Membro ANPPD®️ – Associação Nacional dos Profissionais de Proteção de Dados
Ricardo Rios
Consultor em LGPD e Privacidade de Dados
Membro ANPPD®️ – Associação Nacional dos Profissionais de Proteção de Dados
