Não é novidade que o vazamento de dados é um grande risco para empresas de todos os tamanhos e setores. As consequências podem ser devastadoras, como a perda de confiança dos clientes, danos à transparência da marca e até mesmo repercussões legais.
Conforme o Relatório da Atividade Criminosa Online no Brasil, publicado em fevereiro de 2022 pela empresa Axur, 2,8 bilhões de registros foram expostos no ano passado, número que manteve o Brasil, pelo segundo ano seguido, como o campeão mundial em vazamento de dados. Em estudo recentemente divulgado pelo jornal Estado de São Paulo, a consultoria alemã Roland Berger afirmou que, a cada segundo, uma empresa brasileira recebe uma tentativa de ataque hacker. Ainda conforme a consultoria, a estimativa é que existam ao menos 17 grupos hackers atuando em ciberataques no Brasil, o que coloca o país na liderança desse tipo de criminalidade na América Latina.
Grandes empresas mundialmente conhecidas já sofreram com o vazamento de dados, podemos listar:
- Netflix, LinkedIn, Last.FM e outros – 1,4 bilhão de senhas vazadas
- Facebook – 87 milhões de dados vazados
- Uber – 57 milhões de dados vazados
- Adobe – 38 milhões de dados vazados
- Netshoes – 2 milhões de dados vazados
- Zoom – Notificado pelo Departamento de Proteção de Defesa do Consumidor em 2020 por um suposto compartilhamento de dados dos usuários com o Facebook
- Banco Inter: Vazou dados de inúmeros correntistas e fechou acordo de pagamento de 1,5 milhões em indenização;
É crucial que as organizações já estejam em conformidade regulatória com a Lei Geral de Proteção de Dados, realizado treinamento proposto pelo DPO, preparadas para agir de forma rápida e eficaz em caso de vazamento de dados.
Na ocorrência de incidentes de segurança com dados pessoais, a ANPD recomenda aos agentes de tratamento as seguintes ações abaixo:
Em primeiro lugar, deve-se avaliar o incidente, determinando quais dados foram comprometidos e em que quantidade, identificar as possíveis fontes e pontos de vulnerabilidade que levaram ao vazamento e avaliar o impacto potencial de vazamento, incluindo riscos para os clientes, parceiros e a própria empresa.
Após, é importante haver comunicação de incidentes ao encarregado sobre o ocorrido, e, caso você seja o operador, deve comunicar o controlador. (O artigo 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD também recomenda que embora a responsabilidade e a obrigação pela comunicação sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, estas serão devidamente analisadas pela ANPD.)
Informar imediatamente as equipes internas responsáveis, como a equipe de segurança da informação, jurídica, recursos humanos e comunicação. Estabeleça um plano de comunicação interna para garantir que todos os departamentos estejam cientes do incidente e de seus papéis na resposta. Tome medidas imediatas para conter o vazamento e evitar danos adicionais, se possível, desative o acesso aos dados comprometidos e fortaleça a segurança dos sistemas afetados.
É necessário comunicar os afetados: Notifique a Agência Nacional de Proteção de Dados (ANPD) sobre o ocorrido. Disponibilize informações sobre quais dados foram vazados; quando teve ciência do vazamento; se acredita os dados pessoais foram indevidamente usados em alguma ação criminosa (como estelionato, fraude ou comércio ilegal de dados pessoais) e quais evidências para confirmar essa hipótese.
Não se esqueça do Princípio da Transparência: Seja transparente com seus clientes, parceiros ou outras partes afetadas pelo vazamento o mais rápido possível, fornecendo informações claras e precisas sobre o que aconteceu, quais dados foram comprometidos e as medidas que estão sendo tomadas para resolver o problema e proteger seus dados.
Além disso, é necessário acionar os órgãos de defesa do consumidor, a polícia civil e a justiça.
Fique preparado para a possibilidade de multas.
Por fim, para haver segurança de dados da sua empresa, é importante a contratação de uma equipe especialista em adequação de dados com um DPO especializado e preparado para realizar uma análise pós-vazamento para entender as falhas no sistema e as ações que podem ser tomadas para evitar futuros vazamentos.
Claro que, melhor que remediar, é prevenir: A consultoria em LGPD tem um papel fundamental de avaliar e reduzir riscos que podem resultar em vazamentos de dados, multas e sanções.
Os riscos podem estar, por exemplo, em contratos, processos de coleta de dados e até em soluções de infraestrutura e comunicação utilizadas pela empresa.
Como se trata de uma equipe especializada, a consultoria tem a capacidade de fazer uma avaliação mais criteriosa do que precisa ser melhorado e otimizado a fim de que essas brechas sejam mitigadas.
Diferentemente do que muita gente acredita, o projeto de conformidade e adequação à LGPD vai muito além da revisão de contratos e acordos, e da adequação ou criação de uma política de privacidade. Para a criação de um programa de conformidade seguro e consistente, é preciso entender o fluxo dos dados pessoais na empresa, avaliar riscos, alterar comportamentos e processos, estar preparado para problemas e incidentes, e, dependendo do caso, até adotar novas tecnologias. Este trabalho minucioso e fundamental deve ser executado por profissionais qualificados e especializados em privacidade e proteção de dados.
Investir em treinamento e conscientização para os funcionários, reforçando a importância da segurança de dados e boas práticas. A adequação à LGPD está muito ligada à avaliação e redução de riscos, já que a lei prevê sanções e multas, e pode servir de base para ações judiciais. Ao contratar uma consultoria especializada em LGPD, a empresa consegue avaliar e mitigar esses riscos de forma muito mais efetiva.