A recente crise envolvendo um aplicativo de delivery, que teve nomes de clientes alterados em sua plataforma por um terceiro, revela os riscos oferecidos por uma falha de segurança na gestão dos dados sob a responsabilidade de um contratado.  A falha sistêmica serve como uma alerta para a importância da elaboração de contratos que definam as obrigações de cada parte envolvida e quais ações devem ser cumpridas pelo controlador dos dados e aquelas exclusivas do operador.

Atualmente, é comum encontrar no mercado empresas operando com contratos engessados, que limitam toda a relação a uma cláusula padrão que, supostamente, daria conta de todas as situações envolvendo a captação, gestão e descarte de dados. Na maioria dos casos, ela traz o seguinte texto: “as partes se dispõem a cumprir todas as normas da LGPD”.

Um contrato adequado à LGDP deve trazer cláusulas prevendo todo tipo de situação passível de ocorrer na gestão de dados pessoais. Ele deve superar a informalidade comum no passado, pois a lei exige formalidade, prestação de contas e transparência, permitindo que a empresa cobre de seus parceiros uma série de posturas e, dessa forma, evite colocar em risco sua imagem perante o mercado. A opção por  um documento limitado fragiliza a companhia, pois ela não possui um termo de compromisso que permite apontar a origem da falha em um erro cometido por um terceiro.

Neste sentido, o contrato deve tornar viável a rastreabilidade das obrigações que cada parte deve cumprir na cadeia de tratamento das informações.  Também é preciso constituir e dar legitimidade ao DPO (Data Protection Officer). Essa figura deve estar à frente do comitê que irá acompanhar a implementação e a execução de toda a política de gestão de dados da empresa.


Como as empresas devem responder a incidentes de segurança da informação

Um incidente como o do iFood revela que não há uma bala de prata com capacidade de resolver todas as consequências geradas por uma crise envolvendo a má gestão de dados. É preciso colocar em prática três frentes de ação, que irão operar de forma paralela e coordenada.

A primeira é a jurídica. O advogado sugere as medidas necessárias de enfrentamento imediato, sobretudo na fase extrajudicial. A segunda é a de comunicação. Uma vez que a crise começa na mídia, ela deve terminar nela.  A sistêmica é a terceira. É por meio dela que será possível extrair as provas das falhas operacionais e da autoria da ação que resultou na crise. Ela será responsável por repassar às outras duas as informações necessárias para resolução das falhas operacionais e evitar um nova crise.

O caso também marca a importância de a empresa ter, antecipadamente, preparado um plano de resposta a incidentes. Ele prevê as tarefas de cada colaborador, seja ele da TI, Recursos Humanos ou do Jurídico. Esse plano deve ser formalizado e deixar especificado o papel de cada membro e qual o prazo para que eles realizem suas atividades no enfrentamento do problema.

 


Para saber mais detalhes sobre o assunto fale com a nossa equipe mandando uma mensagem para [email protected] ou no WhatsApp em (31) 99914-8128.