Monica Bressan (*)
As companhias carregam dados valiosos internos e de terceiros, que incluem informações das suas operações, de seus colaboradores, fornecedores e de clientes, ficando cada vez mais expostas a riscos cibernéticos. Qualquer deslize pode impactar sua operação, seu resultado financeiro e, sobretudo, sua reputação.
Sendo, então, a informação um ativo tão importante dentro das empresas, ela precisa ser protegida.
E o vazamento ou o mau uso de dados não compromete apenas as grandes empresas, mas as pequenas e médias, inclusive, as familiares, que podem ter prejuízos muito maiores e comprometer a continuidade do próprio negócio.
Acontece que esses dados estão cada dia mais expostos a problemas de vazamento ou roubo devido aos avanços da tecnologia.
Muitas vezes a maneira como eles são armazenados permitem brechas a hackers, além do mau uso de dispositivos como tablets, celulares e notebooks e das próprias redes sociais, que tornam os sistemas vulneráveis a ataques. Além disso, o trabalho remoto (fora da empresa) também é um fator de risco, pois abre muitas portas de acesso a informações importantes.
Outros problemas que podem ser enfrentados pelas empresas estão relacionados ao acesso não autorizado de funcionários aos dados ou a falta de firewall eficiente, permitindo a ocorrência de ransomware (sequestro de dados com objetivo de negociar resgates por meio de criptomoedas).
As empresas estão sujeitas também à ocorrência relacionadas ao armazenamento das informações, como, por exemplo, se o banco de dados não tiver um bom espelhamento e backup, a empresa poderá ter problemas de perda de dados e comprometer um cliente ou funcionário, além dos dados do próprio negócio.
O compliance voltado para a segurança da informação e proteção de dados contempla a adoção de procedimentos com o objetivo de minimizar a ocorrência de todos esses riscos, como a adoção de políticas de segurança da informação e protocolos específicos para funcionários, fornecedores e clientes acessarem os dados.
Envolve também, e principalmente, a realização de treinamentos aplicados aos colaboradores para instruí-los a não deixar a empresa vulnerável a riscos cibernéticos, além de um plano de resposta a incidentes e o investimento na manutenção de um ambiente de tecnologia atualizado incluindo antivírus, firewall, espelhamento e/ou backup isolado do sistema em uso.
Nesse contexto, além da adoção de medidas gerais de conformidade acima exemplificadas, é muito importante para as companhias adotarem um Programa de Governança em Privacidade de Dados, para manterem seus dados protegidos e se resguardarem perante a Lei Geral de Proteção de Dados (LGPD).
Esse Programa de Governança em Privacidade de Dados, pode ser implementado observando-se dez etapas:
1 – Nomear um encarregado designado pela empresa que será responsável de introduzir um sistema de compliance e fazer intermediação entre empresa titular de dados;
2- Criar um canal de atendimento ao titular de dados, por meio do qual o titular dos dados pessoais possa obter informações sobre o tratamento e exercer seus direitos legais;
3 – Elaborar o mapeamento do fluxo de dados pessoais e de seu ciclo de vida, ou seja, a identificação dos momentos de coleta, retenção, processamento, compartilhamento e eliminação;
4 – Caso encontre riscos, elaborar o relatório de impacto que avaliará os riscos associados ao tratamento (com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais e as medidas, salvaguardas e mecanismos de mitigação de risco);
5 – Realizar os ajustes de conformidade por meio da adoção de medidas para mitigação de riscos associados ao tratamento dos dados pessoais;
6 – Adotar medidas de segurança da informação para evitar acessos não autorizados ou qualquer forma de tratamento inadequado ou ilícito, garantindo confidencialidade, integridade e disponibilidade dos dados apenas quando e a quem de direito. E mostrar que está fazendo isso;
7- Elaborar um plano de resposta a incidentes com o estabelecimento de procedimentos para resposta a incidentes de segurança da informação envolvendo dados pessoais;
8 – Elaborar e divulgar a política de privacidade com informações claras e atualizadas sobre a previsão legal, a finalidade e os procedimentos utilizados para a execução das operações de tratamento para deixar o cliente seguro em relação a isso;
9- Realizar os ajustes contratuais pertinentes em relação aos contratos celebrados com colaboradores e com terceirizados que atuem como operadores (que realizam o tratamento de dados pessoais em nome do controlador) isso inclui que empresas contratadas e que dispõem de muitos dados da empresa, como contabilidade, por exemplo, garantia de que ela também cumpra as normas da LGPD;
10 – Realizar a capacitação da equipe acerca das diretrizes da LGPD e da Política de Privacidade adotada. A LGPD não estabelece um prazo para a implantação do Programa de Governança em Privacidade de Dados, porém, se a empresa tiver efetivamente implantado esse Programa e venha a ocorrer algum incidente, os valores das multas serão consideravelmente menores, além da reputação não ser tão abalada devido à empresa já estar comprometida com a proteção de dados.
Diante de tudo o que foi abordado, é imprescindível que as empresas se protejam de eventuais incidentes cibernéticos. Pode fazer toda a diferença na garantia de segurança, redução de custos e na manutenção da credibilidade das empresas no mercado, especialmente os pequenos e médios negócios.
(*) – Formada em Direito e mestrado em Administração de Empresas, com Especialização em Direito Tributário com foco em Finanças Estratégicas, é especialista em governança corporativa, compliance, ISO 37001, ISO 31000, contratos e finanças.
