Por Alexandre Atheniense

Há alguns anos, temos observado um aumento significativo dos incidentes de vazamento de dados pessoais e corporativos, bem como dos ataques de ransomware que causam prejuízos enormes às diversas organizações. A partir da pandemia, houve um aumento vertiginoso desses golpes causado pela dependência da realização de atividades empresariais pelas plataformas digitais tanto na esfera privada quanto pública. Em abril deste ano, o  Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), emitiu um alerta para o aumento dos casos de vazamento de credenciais do acesso aos sistemas do governo. Por outro lado, propaga na mídia, casos com ampla repercussão negativa relacionados às empresas privadas afetadas, tais como o vazamento de quase vinte mil chaves PIX da Lugu Instituição de Pagamento S/A​​, a exposição de dados de milhares de pessoas pela Ticketmaster​, e o ataque ao Banco Santander que comprometeu informações de clientes​​. Estes são exemplos dos riscos que as empresas enfrentam, sobretudo no aspecto reputacional.

Como advogado que atua na área de Direito Digital e enfrenta ataques frequentes de cibersegurança e vazamento de dados, reputo como relevante alertar aos advogados que atuam na área empresarial, sobre a importância de uma resposta rápida, bem orquestrada e eficaz. Mas não apenas isso. A resposta deve ser assertiva e profissional em diversas frentes. Estas medidas não devem ser restritas às boas práticas de mercado, mas, sobretudo, demonstrar a conformidade legal para os órgãos fiscalizadores, que visam aplicar penalidades de grande impacto reputacional e econômico, bem como um desdobramento judicial a partir de eventuais futuras medidas a serem propostas pelos titulares que forem vítimas destes incidentes.,

A gravidade dos incidentes de vazamento de dados

O enfrentamento destes incidentes demandam uma articulação da empresa em diversas frentes simultaneamente, pois, após a regulamentação e penalidades dizem respeito apenas às questões técnicas; mas envolvem riscos jurídicos, financeiros, reputacionais e sistêmicos significativos. Este plano de resposta à incidentes requer medidas operacionais, na área de comunicação e jurídica no menor tempo possível, para mitigar danos e dar ciência aos órgãos fiscalizadores das medidas de contingência adotadas.

As três frentes de enfrentamento

Após um incidente de vazamento de dados, por exemplo, espera-se que a empresa deva agir prontamente em três frentes principais, de forma coordenada: a jurídica, a sistêmica e a comunicacional. Cada uma dessas frentes é fundamental para uma resposta eficaz e para minimizar os danos causados ou potenciais.

Na frente jurídica, a resposta envolve a tomada de medidas imediatas exigidas por lei, tais como: (1) a notificação compulsória do incidente à ANPD. (2) Apresentar uma norma interna relativa ao Plano de Resposta a Incidentes (PRI). Sabemos que nem sempre as empresas ainda adotam este normativo interno que define as diretrizes das medidas a serem tomadas e a delegação de tarefas e o prazo de execução. Outras comprovações de conformidade legal serão exigidas, tais como: (1) mapeamento atualizado de todas as atividades de tratamento de dados pessoais, o (2) Relatório de Impacto à Proteção de Dados (RIPD) e um (3) Plano de Ação, que defina as medidas essenciais para a comunicação aos titulares dos dados afetados e, se necessário,

A frente sistêmica envolve a identificação rápida, a coleta de provas, a análise forense computacional para mitigação dos riscos.. Estas breves apurações devem compreender (1) as causas e as rastreabilidades probantes do incidente (2) qual a extensão dos dados vazados e os titulares envolvidos, o impacto do vazamento e os desdobramentos futuros que possam causar riscos aos titulares. (3) implementar medidas imediatas para corrigir as vulnerabilidades identificadas e interromper o vazamento. Isso pode incluir a desativação imediata dos sistemas afetados, a contratação de empresas especializadas em cibersegurança, a atualização ou contratação de softwares para ampliar a proteção e a revisão das políticas de segurança da informação.

No tocante à frente comunicacional, o objetivo se relaciona a (1) dar respostas e gerenciar a reputação da empresa, perante a mídia e titulares de dados, garantir a confiança dos clientes, colaboradores, parceiros e investidores (stakeholders). (2) Informar de forma clara e transparente aos órgãos reguladores, os titulares dos dados afetados, parceiros, acionistas e o mercado sobre o alcance do incidente. (2) Demonstrar controle que a empresa possui pleno conhecimento dos fatos, que as falhas foram identificadas, e que as medidas de contingenciamento e solução estão em andamento. (3) Compromisso com a segurança: reafirmar o compromisso da empresa com a proteção dos dados pessoais, corporativos e a segurança das informações dos clientes, colaboradores, parceiros e investidores.

Conclui-se que a adequação contínua à LGPD e a adoção de princípios de governança e boas práticas são fundamentais para que as empresas estejam preparadas para enfrentar incidentes de vazamento de dados. Como se vê, são várias medidas de governança que devem ser implantadas ou revistas em caráter preventivo. A adoção destas medidas apenas no momento reativo ao incidente gera graves riscos de penalidades, ante a exiguidade do tempo para executar as medidas legais de enfrentamento, e, ao mesmo tempo, revelarão para as autoridades fiscalizadoras que a governança corporativa quanto a cibersegurança é frágil,

As empresas que mantêm uma governança digital com conformidade robusta, cercadas de consultores especializados em Direito Digital e outros profissionais especializados, serão capazes de reagir com mais brevidade em situações de crise, e, por consequência, sujeitam às penalidades maiores.

A demonstração de capacidade de enfrentamento eficiente não só minimiza os danos imediatos, mas também reforça a confiança do mercado na capacidade da empresa de proteger dados pessoais e corporativos. Portanto, a adoção de medidas preventivas e a resposta orquestrada em diversas frentes estratégicas por profissionais especializados são indispensáveis para enfrentar os incidentes de cibersegurança e proteção de dados são elementos essenciais para a governança, sustentabilidade, redução das penalidades e, sobretudo, o zelo pela reputação empresarial.

Publicado em Análise Editorial.