Ainda há um vácuo em relação a preocupação das empresas e instituições e o respeito aos dados pessoais e sensíveis dos cidadãos brasileiros
Durante o ano de 2021, acompanhamos diversas empresas no Brasil e no exterior que sofreram invasões em seus sistemas. Algumas tiveram seus respectivos dados sequestrados e pagaram aos “hackers” uma quantia em “bitcoins” para terem acesso novamente aos mesmos. Nem todas as empresas confirmaram o pagamento pelos sequestros, com o intuito de evitar ainda mais o abalo reputacional sofrido, mas possivelmente devem ter efetuado o pagamento.
A lei geral de proteção de dados (“LGPD”) entrou em vigor em 2018 e as empresas e instituições governamentais tiveram, pelo menos, 1 ano e 6 meses para se adaptarem as disposições desta legislação.
Infelizmente, vemos 4 cenários desde a mencionada data:
(I) empresas e instituições que não implementaram um programa de LGPD; (II) empresas e instituições que implementaram somente o básico, ou seja, política de privacidade de dados e implementação de clausulas de LGPD em seus contratos;
(III) empresas e instituições que de fato implementaram um programa de LGPD, realizando todos os passos para avaliação de impacto de riscos e correção destes, mas deixaram de investir em controles externos para minimizar as invasões; e
(IV) empresas e instituições que, além de implementarem todo o processo de LGPD, também buscaram se proteger de invasões através da realização de testes externos.
O cenário atual em relação aos programas de LGPD que temos acompanhado nas notícias são que 40% das empresas ainda não implementaram nada. Significa dizer que temos um vácuo em relação a preocupação das empresas e instituições em relação ao respeito aos dados pessoais e sensíveis dos cidadãos brasileiros. Ademais, quando falamos de um programa de LGPD, o mesmo não e estático, deve evoluir sempre, pois os riscos mudam e crescem cada vez mais rapidamente.
Realisticamente, os “hackers” estão vários passos à frente que as áreas internas de Tecnologia da Informação das empresas e instituições. São motivados por causas ou por dinheiro, mas tem a expertise para invadirem todo e qualquer tipo de sistema, se assim quiserem realizar.
Em todos os projetos de implementação de LGPD, existem recomendações que são essenciais, pois são consideradas de risco extremo ou critico, que deveriam ser levadas a sério pelas empresas e instituições, que seria a realização dos seguintes serviços por empresas terceiras, que possuem a expertise técnica necessária:
(I) Monitoramento NOC & SOC;
(II) Gestão de vulnerabilidades; e
(II) Defesa e resiliência cibernética.
São atividades essenciais para compreender de como está o nível de segurança de seus sistemas, seja no servidor ou nos serviços de nuvens. A definição de monitoramento, significa avaliar, sem pausas, o ambiente tecnológico da empresa ou instituição visando detectar mudanças de padrões de qualquer espécie, em usuários, em aplicações, em serviços e em infraestruturas. Já na avaliação de vulnerabilidades, o prestador externo consegue avaliar se existem “gaps” ou porta de entrada para possíveis invasores e corrigir, de forma recorrente, antes que os criminosos as encontrem primeiro. Quando falamos em Ataque e defesa cibernética seria um serviço onde uma empresa realiza simulações de ataques hackers, com o objetivo de as vulnerabilidades serem apontadas e corrigidas.
Muito dos casos que temos acompanhado ao longo deste ano poderiam ter sido prevenidos se as empresas e instituições governamentais tivessem implementado os serviços descritos no parágrafo anterior. O risco cibernético sempre irá existir, mas ele pode ser minimizado e controles podem ser implementados para garantir que informações não sejam perdidas ou sequestradas em um primeiro ataque.
Sendo assim, cada vez mais as empresas e instituições terão que implementar programas de LGPD efetivos e não programas “fakes” ou para “inglês ver”, pois as consequências estão nos noticiários e mídias sociais. Além dos impactos nos preços das ações das empresas que possuem capital aberto. Muitas não recuperaram seu preço estimado até hoje. LGPD e tecnologia caminham em sinergia e devem ser vistas como um investimento valioso e não apenas um custo adicional. Trata-se de uma mudança de “mind
set”, pois cada vez mais a economia e os investidores dependem que o ambiente empresarial tenha implementado níveis adequados de segurança.
Para as empresas que ainda não iniciaram um programa de LGPD, fica a dica, comecem o mais rápido possível e realmente foquem em ter um programa robusto e com segurança cibernética.
* Patricia Punder é advogada e compliance officer com experiência internacional. Professora de Compliance no pós-MBA da USFSCAR e LEC – Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”, lançado pela LEC em 2019 e Compliance – além do Manual 2020.
