Rosana Muknicka (*)
Pelo 15º ano consecutivo, o Ponemon Institute, patrocinado pela IBM Security, publicou uma pesquisa mensurando os prejuízos decorrentes do vazamento de dados. Para a pesquisa foram analisadas 524 organizações, localizadas em 17 países que, efetivamente, sofreram vazamentos de dados entre agosto de 2019 e abril de 2020.
Segundo a pesquisa, o país mais afetado por vazamento de dados foi os Estados Unidos da América e o setor com maior prejuízo foi o da saúde. O tempo médio para a identificação e contenção do vazamento dos dados foi de 280 dias.
A média do prejuízo por registro perdido ou furtado ficou em US$146 e, no caso de identificação de clientes, este valor foi calculado no importe de US$150 por registro comprometido. Imagine, no entanto, que em único vazamento, milhares de registros poderão ser perdidos ou furtados por meio de ataques mal intencionados.
Apesar do período da pesquisa abordar somente o início da pandemia e, consequentemente, enfrentar as primeiras questões relativas à adoção do home office, 70% das organizações entrevistadas comentaram que o trabalho remoto aumentaria os prejuízos decorrentes de um vazamento de dados. 76% destas organizações indicaram, ainda, o aumento no tempo de identificação e resposta para a contenção de um vazamento de dados.
Tudo isso em razão das dificuldades de comunicação entre as equipes multidisciplinares e a redução da segurança dos sistemas em um ambiente fora das instalações físicas da empresa. Portanto, um compliance adequado e efetivo com as normas de proteção de dados pessoais se torna cada dia mais essencial.
Neste ponto é importante destacar que todas as pessoas jurídicas, de direito público ou privado, que ofereçam serviços ou tenham operações que envolvam o tratamento de dados no Brasil, devem estar em compliance com a Lei Geral de Proteção de Dados Pessoais (LGPD).
Observe-se, ainda, que salvo a aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que entrarão em vigor a partir de agosto próximo, todos os demais dispositivos da LGPD já se encontram em vigor, ou seja, podem ser ajuizadas ações, individuais ou coletivas, de natureza trabalhista, cível (incluindo de consumidores), regulatórias e criminais com fundamento na LGPD.
Além dos gastos com um possível vazamento de dados, outras questões de suma importância devem ser sopesadas pelas empresas que ainda não se adequaram à LGPD: concorrência e reputação. Em um cenário de proteção de dados pessoais, transparência e segurança serão as palavras que determinarão o curso de algumas empresas.
A empresa que não estiver em efetivo compliance com a LGPD poderá sofrer o isolamento comercial no mercado. Afinal, empresas que estão em compliance com a LGPD poderão preferir negociar somente com empresas que ofereçam o mesmo nível de proteção aos dados pessoais. Os entes públicos poderão, ainda, exigir o cumprimento da LGPD nas próximas aquisições de bens e serviços.
Quanto à reputação, poderá gerar insegurança e incerteza nos clientes e parceiros de negócios. O eventual vazamento de dados de uma empresa que não tomou qualquer atitude responsável em relação aos tratamentos dos dados pessoais que realiza. A questão toma maior relevância, no mais, quando a empresa possui ações na bolsa de valores. Afinal, qualquer incidente ou vazamento de dados pessoais poderá impactar, significativamente, no valor de referidas ações.
Normalmente, para que haja um verdadeiro compliance com a LGPD, há a necessidade da realização de 03 fases distintas, a saber: (1) Avaliação; (2) Implementação; e (c) Governança.
- Na fase de avaliação, verifica-se o fluxo dos dados pessoais dentro de uma empresa. Nesta fase costuma-se requerer o apoio da equipe de TI, interna ou externa, para que auxilie no mapeamento dos dados pessoais. Realiza-se uma verdadeira fotografia do cenário atual da empresa. A partir de referido mapeamento dos dados, são apresentadas sugestões de melhorias, tanto nos sistemas quanto no fluxo de dados.
- Na fase de implementação são revisados os contratos e políticas, internas e externas, adotadas pela empresa, fazendo adequações ou elaborando novos documentos quando necessários.
São revisados os contratos com clientes e fornecedores (inclusive de seguros cyber, de contratos de fornecimento de mão de obra de terceirizados e temporários, etc), com os empregados (incluindo, contratos de comodato de notebooks e celulares corporativos, política de home office, políticas de saúde dos trabalhadores, etc).
Bem como elaboradas políticas de governança de dados, de privacidade dos dados e cookies nas redes sociais, bem como de transferência internacional de dados, inclusive na hipótese da transferência ocorrer por contratação de cloud computing com servidores localizados no exterior.
- Na terceira fase, ou seja, de governança de dados, ocorrem os treinamentos para a capacitação de todos os envolvidos com os dados pessoais dentro de uma empresa. São elaboradas, ainda, as notificações de incidentes bem como o relatório de impacto, documento que retrata toda a implementação da LGPD dentro da empresa.
Portanto, diante de tantas questões (que incluem eventual isolamento no mercado) e sanções pecuniárias tão elevadas, recomenda-se que todas as empresas no Brasil repensem a questão da proteção de dados pessoais. E, adote, o quanto antes, as medidas necessárias para o compliance efetivo com referidas normas de proteção.
(*) – É advogada especializada em telecomunicações e tecnologia.