Falhas de segurança cibernética: o que fazer e quais os riscos?

Empresas, inevitavelmente, manejam dados próprios, de clientes, de fornecedores e dos demais integrantes de sua cadeia de produção. Falhas no tratamento desses dados e das informações deles extraídas ou vulnerabilidades nos sistemas de segurança da informação geram riscos, com consequências em diversas esferas.

Quando ocorre uma falha na segurança cibernética em ambiente corporativo (e.g., um vazamento de dados), múltiplos dados e informações são expostos ao invasor do sistema e, eventualmente, ao público, tais como dados pessoais, segredos de negócios, tratativas comerciais, listas de clientes e fornecedores, dentre outros. Como a Lei Geral de Proteção de Dados (LGPD) estabelece medidas de segurança, de sigilo, de boas práticas e de governança dos dados das pessoas naturais, constatada a falha, a empresa pode estar sujeita a sanções impostas pela Agência Nacional de Proteção de Dados (ANPD).

A falha poderá também afetar a reputação da empresa perante terceiros e gerar demandas por parte de pessoas físicas ou jurídicas lesadas pela falha no tratamento de dados (como clientes ou acionistas), as quais poderão propor medidas judiciais contra os responsáveis, e outras autoridades fiscalizadoras e sancionadoras, além da ANPD, também poderão impor sanções (e.g., a Comissão de Valores Mobiliários - CVM e órgãos de defesa e proteção ao consumidor). Casos de sequestro de dados (ramsomware) ainda trazem o desafio de compreender as consequências jurídicas do eventual pagamento do resgate – dado o risco de que seja tratado como financiamento de grupos criminosos. Essa complexidade é agravada caso o vazamento envolva dados internacionais, o que exige lidar com autoridades e consequências jurídicas em múltiplas jurisdições.

Além disso, a reação deve ser extremamente rápida, dados (i) o curto prazo para notificação às autoridades (e.g. dois dias úteis, no caso da ANPD) e (ii) a necessidade de minimizar prejuízos decorrentes da veloz disseminação de informações vazadas.

A definição do que fazer é tema tanto de tecnologia de informação quanto jurídico. A providência mais imediata deve ser a realização de análise técnica do evento, que busque entender do ponto de vista tecnológico, como e de que forma ocorreu o vazamento e o que foi acessado e/ou perdido. Em seguida, deve-se fazer a análise jurídica de responsabilidades para determinar os passos seguintes, de modo a conter ou minimizar danos adicionais.

O trabalho frequentemente demandará processos de investigações internas, voltados a apurar detalhadamente as causas e falhas procedimentais que levaram ao fato, bem como a atuação de empregados e administradores na cadeia causal do evento e após a sua ocorrência.

Além da definição das providências perante autoridades, clientes e acionistas, a investigação interna será útil para orientar (i) o aprimoramento de políticas e procedimentos internos voltados à gestão de riscos de segurança e integridade corporativa; e (ii) a definição de medidas contra os responsáveis pela falha de segurança.

Os resultados dessa investigação também darão à empresa informações que podem auxiliar na defesa em processos administrativos ou judiciais decorrentes do vazamento, como as cada vez mais comuns ações de tutela coletiva.


Autores L&S

Alexandre Ditzel Faraco

Alexandre Ditzel Faraco

Sócio
Fernando Hamú Alves

Fernando Hamú Alves

Advogado
Gabriel Bittar

Gabriel Bittar

Outras edições

Política restritiva sobre rankings

Não participamos de ou damos informações a publicações classificadoras de escritórios de advocacia (rankings) com uso de informações confidenciais de clientes. Também não pagamos por espaço editorial ou publicitário. Isso pode levar a omissão ou distorção de informações relativas a nossas atividades em tais publicações. Assim, a visita a nosso site é a maneira mais adequada de conhecer nossas atividades.
developed by asteria.com.br designed by pregodesign.com.br
^