O que os recentes ataques cibernéticos nos ensinam sobre LGPD
Nos últimos dias vivenciamos graves ataques cibernéticos à base de dados de instituições públicas, exigindo resposta rápida da área de tecnologia da informação (TI) dos respectivos órgãos governamentais.
O Governo do Distrito Federal se viu obrigado a tirar do ar todos os seus sistemas eletrônicos a fim de interromper a invasão e preservar a integridade da sua base de dados. Já o Ministério da Saúde não conseguiu agir a tempo e seu sistema de comunicação ficou inoperante.
Contudo, a violação considerada a mais grave da história no Brasil ocorreu à base de dados do Superior Tribunal de Justiça, onde hackers invadiram o sistema do tribunal, criptografaram os dados (de forma que não é possível o acesso às informações) e estariam exigindo resgate para devolver os dados, o chamado ransomware.
Não é necessário discorrer acerca da quantidade de dados (inclusive sensíveis) dos quais os hackers se apropriaram, tendo em vista que, além dos dados de funcionários e visitantes da corte, os processos judiciais expõem informações pessoais das partes, documentos que podem conter informações bancárias, fiscais, patrimoniais, de saúde, entre outras.
E foi buscando proteger justamente esses dados pessoais e sensíveis que recentemente entrou em vigor a Lei nº 13.709, de 2018, chamada Lei Geral de Proteção de Dados Pessoais (LGPD).
A lei trata da coleta, armazenagem e processamento de dados pessoais, enfim, do tratamento de dados pessoais, seja ele efetuado por pessoas físicas, pessoas jurídicas ou organizações do Estado e, ainda, exige que possuidores de dados se adequem às suas regras sob pena de responsabilização e penalidades.
Diante disso, as empresas se viram obrigadas a revisar os procedimentos e até mesmo os dados que coletam e armazenam, editar políticas de privacidade, termos de consentimentos e planos contingenciamento vocacionados à proteção de dados, visando a assegurar a real privacidade e segurança das informações.
Também se viram compelidas a testar seus sistemas e investir em consultorias estratégicas e em novas tecnologias, haja vista que os ataques cibernéticos evoluem de forma rápida e sofisticada.
Com a edição da LGPD, nota-se que clientes, usuários, prestadores, fornecedores, funcionários (entre outros) estão mais exigentes com a segurança de suas informações e atentos ao compartilhamento de seus dados com terceiros.
Isso porque o vazamento de informações, seja por ataques cibernéticos, seja por descuido ou mesmo tratamento indevido, além de ensejar um enorme prejuízo à reputação da empresa, também poderá trazer onerosas penalidades e responsabilizações (indenizações).
Outro fator que pressiona as empresas a uma rápida adequação à LGPD é o fato que a pandemia do coronavírus exigiu que muitas empresas se virtualizassem, oferecendo seus serviços e produtos de forma digital e, ainda, mantendo seus profissionais em trabalho remoto. Essa mudança estrutural demanda muita transferência de dados, o que expõe as informações, se o sistema de segurança da empresa não for efetivo.
Diante disso, as empresas devem se proteger, mapeando seus riscos, implementando boas práticas e governança para garantirem confiabilidade e evitarem eventuais penalidades.
Investir em segurança da informação e em políticas de privacidade, ou seja, estar em conformidade com a LGPD, pode afastar a responsabilização da empresa, ou, ao menos, minimizá-la, caso comprove que adotou todas as medidas cabíveis para evitar danos.
Nos dias de hoje os dados têm muito valor, então é necessária a mudança de cultura nas empresas e sua adequação à LGPD, para evitar divulgação e apropriação indevida ou extorsão, tal como ocorrido no caso do STJ.