Entre tantas dúvidas, se há uma única certeza quanto ao episódio em que foram vazados os dados de mais de 200 milhões de brasileiros, é a de que ninguém vai escapar de lidar com uma crise digital. O setor da tecnologia da informação vive o ápice em seu crescimento e não há evidências de que esse mercado venha a arrefecer.
É difícil pensar em algum negócio que sobreviva fora da internet ou sem algum tipo de tecnologia ou sistema de informação, e a pandemia acelerou a virtualização do comércio de bens e serviços. Não foi à toa que Bill Gates profetizou: “se seu negócio não estiver na internet, ele estará fora do mercado”.
Ao lado da tecnologia, uma nova indústria se desenvolve de forma muito organizada para a prática de crimes cibernéticos, contando com fontes de financiamento e talentos à altura dos maiores gênios da indústria tecnológica. Circulam no espaço virtual tabelas de preços com diversas opções de serviços prestados por hackers, que vão da violação de senhas de acesso a contas de e-mails e celulares até a invasão de sistemas bancários e governamentais.
Todo plano de resposta à crise começa pela avaliação de riscos, e as crises digitais marcaram presença na 15ª Edição do The Global Risks Report 2020 do Fórum Econômico Mundial – relatório avaliando os riscos mais críticos às organizações a cada ano. A matriz de risco desta última edição, repetindo a avaliação de versões anteriores, situa o risco de ataque cibernético no quadrante de maior impacto e maior probabilidade, sinalizando os perigos que acompanham a tecnologia e tornam as organizações suscetíveis a ataques cibernéticos cada vez mais sofisticados.
Essa vulnerabilidade é intensificada na Era do Big Data, em que os processos inevitáveis de digitalização, automação e inteligência são capazes de acumular enorme quantidade de dados pessoais e oferecem inúmeros desafios à privacidade do titular.
Os vazamentos de dados de que temos sido expectadores e, em muitos casos, vítimas, demonstram a correção dessa avaliação e, sob a atual Lei Geral de Proteção de Dados (LGPD), criam para as empresas a obrigação de adotarem protocolos de prevenção e gestão deste tipo de crise.
A lei considera os agentes de tratamento de dados pessoais responsáveis por garantir a segurança das informações, inclusive após o término do tratamento. Além disso, usa a expressão “incidente de segurança”, que é ampla o suficiente para abarcar não só uma invasão sofisticada a bancos de dados, mas também situações banais como o extravio de um smartphone, a infecção de um computador por malwares, um ataque bem sucedido por phishing e até o descuido de um funcionário que disponibilize senhas de acesso a informações privadas e sensíveis, como ocorrido no vazamento de senhas do Ministério da Saúde, permitindo o acesso indevido a informações relativas a milhões de pacientes acometidos por Covid-19 no ano passado.
Esses eventos disruptivos correspondem ao conceito de crise: um “evento anormal que cria instabilidade por ameaçar os objetivos, a reputação ou a viabilidade de uma organização” (Business Standard 11200:2014). Os ataques cibernéticos não prejudicam só as empresas, pois trazem grande risco de prejuízos diretos aos clientes, colaboradores e demais titulares de dados pessoais sob sua custódia.
As empresas, ao mesmo tempo em que são vítimas dos hackers, perante o mercado são tidas por incompetentes e perante os clientes serão vilãs, com grande impacto à reputação e à continuidade dos seus negócios, além do risco de destruição instantânea da confiança em marcas que levam anos para se consolidar. Essa realidade associa a conformidade à LGPD aos parâmetros ESG (governança corporativa, social e ambiental), transformando a gestão dos dados num item prioritário do compliance.
Nos programas de compliance em LGPD adotam-se protocolos de prevenção e gestão de crise envolvendo vazamento de dados de modo a atender à legislação e às expectativas da clientela e do mercado. Não se trata de diferencial competitivo, trata-se de um standard mínimo para a sustentabilidade do negócio, pois (a) o risco é alto, (b) é previsível e (c) vazamentos não são mais uma questão de “se” podem ocorrer e sim de “quando” ocorrerão.
Em geral, quando as crises acontecem, debate-se acaloradamente se as informações sobre o episódio devem ser levadas aos “stakeholders”, às autoridades e ao público, com a equipe do jurídico inclinada a manter as questões sigilosas até segunda ordem e o pessoal da comunicação sustentando a transparência como o melhor modo de salvar a reputação da empresa de maiores danos.
Por um lado, o zelo do jurídico se justifica porque há informações sensíveis que podem ser objeto de futura judicialização, além da preocupação com a assunção de responsabilidades que vão além do necessário ou que levem à autoincriminação dos dirigentes. Por outro lado, o manual básico da gestão de crise sugere que, uma vez priorizadas as questões urgentes e relacionadas com a vida, a saúde, a integridade física e psicológica das pessoas envolvidas no episódio, o item imediatamente seguinte é ativar uma estratégia de comunicação clara e leal para informar “stakeholders”, seguradora, autoridades e comunidade.
É preciso equilíbrio na condução da crise, de modo a manter o público razoavelmente informado sem prejudicar o direito de defesa da empresa e seus dirigentes num futuro litígio, e somente um plano de ação previamente concebido e testado evitará a tomada de decisões ad hoc e irrefletidas no calor dos acontecimentos, em meio a crise.
O primeiro passo no protocolo diz respeito à contenção da crise e controle de danos. É preciso fazer cessar o ataque, assegurando que os dados parem de vazar e o sistema volte a ser inacessível ao hacker.
A equipe de TI seguirá o plano de resposta previamente estabelecido, e um bom protocolo já indica uma empresa externa de tecnologia para acompanhar os trabalhos, registrando e documentando todas as evidências para a compreensão do incidente. Esse olhar externo é crucial, porque a empresa deverá demonstrar que fez uma investigação adequada e isenta, evitando conflito de interesses ou que fatos sejam encobertos pelo pessoal interno da TI, por temor quanto à preservação da relação de emprego. Isso é o mais urgente.
Em seguida ativa-se o protocolo de comunicação. Um responsável é designado para centralizar todas as comunicações envolvendo o incidente, evitando que sejam passadas informações contraditórias ou inconsistentes. Nas crises envolvendo vazamento, o impasse entre esconder ou comunicar o incidente não se põe, porque a notificação de ocorrência é uma obrigação indeclinável prevista no art. 48 da LGPD. Soma-se às exigências legais o fato de que os hackers se orgulham de suas invasões, então, se a própria empresa não revela o fato de ter sido alvo de um ataque bem-sucedido, é muito provável que o próprio autor do ataque leve o fato ao conhecimento do público.
O dever de notificação é uma constante nas leis de proteção de dados, sendo contemplado no Regulamento Geral de Proteção de Dados europeu, onde as notificações devem, sempre que possível, ser comunicadas no prazo de 72 horas (art. 33) nos casos em que o vazamento resulte em riscos ou danos aos titulares dos dados.
A lei californiana (California Consumer Privacy Act – CCPA), considerada a mais rigorosa nos Estados Unidos, exige que as organizações privadas e os órgãos estatais notifiquem residentes daquele Estado que tenham tido suas informações pessoais acessadas indevidamente. No caso brasileiro, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados vazados devem ser comunicados quanto à ocorrência de incidente de segurança que possa acarretar risco ou dano relevante a titulares de dados.
A ANDP exigirá um relatório que descreva a natureza dos dados vazados, as informações sobre os titulares envolvidos, os riscos relacionados ao incidente, as medidas técnicas e de segurança adotadas para a proteção dos dados, as medidas adotadas para reverter ou mitigar os efeitos do incidente, além dos motivos da demora caso a comunicação não tenha sido feita imediatamente.
Os planos também devem conter uma estimativa dos danos que podem ser causados pelo incidente – que, aliás, não são poucos: entre outros, computam-se gastos com a notificação do órgão regulador e de todos os titulares afetados, danos reputacionais e perda de clientela, lucros cessantes no caso de interrupção do sistema para conter a invasão, despesas com a investigação para esclarecer as causas e responsabilidades pelo ocorrido, defesas administrativas e/ou judiciais, indenizações, multas e, em muitos casos, extorsão dos hackers para fazer cessar o ataque.
A avaliação concreta desses danos pode recomendar a contratação de seguro para a proteção digital da empresa, e um bom protocolo deve estabelecer a constante revisão e atualização das coberturas contratadas, tendo em vista que os ataques cibernéticos estão sempre em inovação.
O exame dos danos requer também o aconselhamento jurídico, preferencialmente externo (a fim de preservar a prerrogativa do sigilo da relação cliente-advogado), a fim de avaliar possível contencioso decorrente do episódio. A revisão nos contratos com colaboradores e terceiros também é necessária para certificar que contemplem cláusula de confidencialidade em relação a todas as informações acessadas no âmbito da organização, a fim de limitar a responsabilidade desta no caso de vazamento intencional de dados praticado por alguma daquelas pessoas.
Por fim, todo protocolo pode resultar inútil se não for devidamente testado e submetido à constante aperfeiçoamento em vista da rápida evolução dos ataques cibernéticos. Simulações de ataque serão essenciais para testar a incolumidade do sistema e a efetividade do plano de resposta. O plano deve conter uma política de treinamento dos colaboradores, principalmente para que conheçam as armadilhas mais comuns empregadas pelos hackers, tais como o “phishing” e o “social engineering”.
Dá trabalho? Com certeza! O poder da informação traz consigo a responsabilidade pelos dados pessoais e, repito, os protocolos para protegê-los não são diferenciais extraordinários, mas mera condição para a sobrevivência e sustentabilidade do negócio. Esteja, portanto, preparado para a realidade dos ataques cibernéticos que já não são mais considerados em termos de “se”, e sim de “quando”.
Originalmente publicado em Jotainfo.
Todos os direitos reservados © Moreira Cesar & Krepp Sociedade de Advogados 2022 | Desenvolvido por Inova House
