O mês de setembro começou aquecido no setor de Telecomunicações. Enquanto caçadores de hackers entravam em ação para concretizar a maior operação de todos os tempos, a LGPD sofria uma reviravolta no Senado e o governo criava a Autoridade Nacional de Proteção de Dados, literalmente, de um dia para o outro.
Mas talvez você possa estar se perguntando qual a relação entre a atuação de cibercriminosos e a vigência da Lei Geral de Proteção de Dados. Talvez também tenha dificuldade para identificar o menor dos males, seja pela previsão de multas absurdas a partir do não cumprimento da lei, seja pela consequência mercadológica ao excluir sua empresa do jogo dos negócios em relação aos consumidores e fornecedores, mas principalmente, pela vulnerabilidade em relação à segurança cibernética.
A guerra cibernética já é uma realidade de forma a substituir os embates com armas físicas. A internet proporciona conexão em tempo real e alcance mundial, o que facilita a proliferação de um simples ataque cibernético e, até mesmo, operações mais sofisticadas de espionagem econômica. Os alvos dos ataques variam em diversos setores públicos e privados, em especial, nas áreas de tecnologia e telecomunicações.
Independente do setor, acredita-se que existam apenas dois tipos de empresas no mercado: as empresas que sabem que sofreram algum tipo de ataque cibernético e as que simplesmente não sabem.
A poupança para hackers funciona na medida em que cibercriminosos invadiram determinadas empresas e, de posse de informações importantes, ficaram silentes até a vigência da lei. Dessa forma, agora podem cobrar pelo resgate dos dados, sob pena de exposição pública das respectivas informações.
A empresa que estiver vulnerável às novas regras certamente irá optar por ceder ao ato de chantagem, a fim de evitar as penalidades previstas em lei. Assim aconteceu com a empresa Travelex, maior rede britânica especializada em câmbio, que pagou US$ 2,3 milhões pelo resgate de seu sistema hackeado.
Mas os problemas não acabam por aqui. Todos sabem que os casos de ataques DDoS têm sido uma crescente a nível nacional e um dos grandes problemas enfrentados pelas empresas de Internet e Telecomunicações, bem como pelos usuários de Internet.
Inúmeros são os motivos capazes de influenciar uma série de ataques de redes. De forma geral, eles podem ser movidos por interesses de ganho econômico, na tentativa fomentar a concorrência desleal, com o intuito de extorquir vantagem econômica, em casos de represália ou vingança, para distração a outros ataques, dentre outros inúmeros motivos individuais ou genéricos.
O principal problema está no fato de que o alvo dos ataques certamente irá enfrentar dificuldades, como indisponibilidade de acesso a serviços e recursos legítimos, danos à imagem, perdas financeiras, perda de credibilidade e dificuldade em continuar seus negócios.
A governança e conformidade à LGPD se torna um ato de extrema importância para as empresas no combate aos crimes cibernéticos, uma vez que, por meio da materialização desse processo, a empresa poderá discutir a questão da responsabilidade civil pela guarda de dados pessoais de terceiros.
Em observância à LGPD, uma grande varejista já foi alvo de investigação por coleta de dados de clientes sem autorização, como foi o caso recente da companhia Hering de vestuário. Outra situação popularmente conhecida foi o caso da empresa Netshoes, que firmou um termo de ajustamento de conduta (TAC) com o Ministério Público do Distrito Federal e Territórios, para atribuir a título de indenização o valor de R$ 500 mil reais, após caso de vazamento de informações de clientes.
Como podemos observar, inúmeros são os problemas recorrentes pelo descumprimento da LGPD. Os prejuízos podem ser devastadores na esfera financeira, mas nada se compara com os danos provocados à imagem da empresa e, principalmente, a exposição aos ataques cibernéticos provocados pela vulnerabilidade das informações.
A própria LGPD não determina a rigor todas as políticas necessárias para executar o compliance, mas apenas menciona princípios e regras a serem observadas para garantir a privacidade dos dados pessoais de forma a observar a confidencialidade, integridade e disponibilidade das informações.
E por onde começar? Primeiramente, é preciso entender o cenário atual das informações dentro da sua organização. Este diagnóstico irá nortear a construção das políticas de privacidade e auxiliar na segurança da informação dentro da sua organização. Dessa forma, pergunte-se quais são esses dados pessoais e onde eles estão armazenados.
Feito isso, será necessário classificar esses dados de acordo com a sua criticidade e atrelá-los aos controles dos processos existentes na organização. Após essa fase de estudo, a empresa poderá elaborar sua política por meio de documentos estratégicos capazes de direcionar a organização para um cenário de segurança com a consequente redução de impactos em seu core business.
A falta de escalonamento para a aplicação das novas regras sem dúvidas é um fator limitador para as pequenas empresas no cumprimento de suas obrigações. A LGPD trata de forma igual os desiguais, o que deixa os pequenos empreendimentos em desvantagem frente às grandes organizações. No entanto, chegou a hora em que os consumidores e cibercriminosos poderão colocar as empresas na parede, e caberá a quem estiver mais preparado o lance do xeque-mate.
Daniele Frasson – Advogada e Consultora Jurídica em Direito das Telecomunicações e TICs. Assessora Jurídica na ABRINT, Sócia-fundadora da COSTA FRASSON ASSOCIADOS.