RESUMO
A segurança de dados pessoais tem ganhado cada vez mais relevância ao mesmo tempo em que o número de incidentes de vazamento de informações também tem aumentado. A Lei Geral de Proteção de Dados possui grande relevância ao tratar deste tema, isto porque o diploma legal estabelece alguns princípios e, além disso, destina um capítulo à segurança e boas práticas que os agentes de tratamento deverão seguir. Por meio do método de revisão bibliográfica, o presente artigo tem como objetivo apresentar a importância da segurança e a utilização de métodos que visem aumentar a segurança dos dados pessoais dos titulares a fim de mitigar eventuais incidentes.
PALAVRAS-CHAVE: incidentes de segurança, segurança de dados, LGPD.
INTRODUÇÃO
No ano de 2006, a IBM lançou um comercial prevendo como seria a evolução dos supermercados com a tecnologia RFID. O anúncio exibia um rapaz suspeito vagando pelos corredores do supermercado, enchendo os bolsos com itens enquanto clientes e seguranças do supermercado lançavam olhares inquietos. Ao sair da loja, o guarda chama o rapaz e diz “Com licença, senhor. Esqueceu seu recibo”[1].
Embora, na época, esse fosse um cenário improvável e difícil de se concretizar, pode-se afirmar que, após mais de dez anos, isto já é uma realidade; a Amazon Go é apenas um dos exemplos, onde o cliente pega o produto na prateleira e realiza o pagamento sem passar por um caixa. Esta é uma realidade vislumbrada no cenário da Internet of Things (IoT) – ou Internet das Coisas.
Estima-se que até 2025 serão produzidos 175 zetabytes de dados[2], crescimento que se dá em razão da incorporação de agentes inteligentes que utilizam aprendizado de máquina e outras formas de inteligência artificial para analisar a quantidade crescente de dados gerados pelos dispositivos tecnológicos em nossas vidas.
Com tantos dados, aumenta-se a preocupação com a segurança, isso é o que aponta o relatório Segurança da Unisys, referente ao ano de 2020, segundo o qual o índice de segurança da internet cresceu seis pontos para o brasileiro, em comparação ao ano anterior, ficando atrás apenas da segurança pessoal e segurança financeira[3].
A preocupação com os dados pessoais faz cada vez mais sentido ao vermos que incidentes de segurança que os envolvam ocorrem até mesmo em grandes corporações. No Brasil, a Lei Geral de Proteção de Dados destina um capítulo inteiro para a segurança de dados pessoais e boas práticas, a apresentar algumas obrigações impostas aos agentes de tratamento, sejam elas técnicas ou administrativas.
Portanto, a Lei Geral de Proteção de Dados vem para cumprir um papel essencial na forma como deve viabilizar-se a segurança de dados, tanto no sentido preventivo como no reativo. Assim, as corporações que fizerem esforços e se preparem serão beneficiadas, principalmente em sua reputação, tal qual seus consumidores/usuários, que vislumbrarão uma corporação que possui comprometimento com seus dados pessoais.
1. O vazamento de dados e os problemas relacionados à segurança
Talvez você já tenha ouvido a afirmação de que os dados são o novo petróleo (Data is the new oil), a expressão atribuída a Clive Humby faz muito sentido para muitos modelos de negócios, seja de empresas que vivem da exploração de dados, até para indústrias mais tradicionais que têm migrado mais e mais para modelos de negócios baseados em dados a fim de extrair melhores resultados.
Por outro lado, há quem diga que o dado seria o “novo urânio”, ao mesmo tempo em que ele pode ser extremamente valioso, o dado também pode ser “radioativo”. No relatório de Risco Global de 2020[4], divulgado pelo Fórum Econômico Mundial, os ataques cibernéticos permanecem em perspectiva de longo prazo, cerca de dez anos, tanto para a probabilidade quanto para o impacto de todos os setores. Uma das grandes preocupações trazidas pelo relatório, relacionadas a ataques cibernéticos, está na fraude e no roubo de dados.
Kevin Mitnick e William Simon (MITNICK; SIMON, 2003, p. 4), explicam que à medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando mais difícil a exploração de vulnerabilidades, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Acrescento, ainda, que essa exploração pode ser fatídica quando as corporações não capacitam seus funcionários adequadamente a terem uma mentalidade preventiva.
Uma pesquisa da IBM Security (IBM, 2019) apontou, em 2019, que os ataques maliciosos representam a causa mais comum e também a mais cara, uma média de US$ 4,45 milhões, ou seja, US$ 1 milhão a mais em comparação às causas acidentais. O estudo ainda constatou que possuir uma equipe de resposta a incidentes permanece como principal fator de economia de custos, as empresas que conseguiram detectar e conter uma violação em menos de 200 dias gastaram, em média, US$ 1,2 milhão a menos.
Um grande e recente exemplo de vazamento de dados de causa acidental, que ocorreu no final de 2019, foi o da Microsoft, quando bancos de dados configurados incorretamente expuseram 250 milhões de dados de clientes. Dentre as informações que foram publicizadas, estavam endereços de e-mail, endereços de IP, dados de localização, e-mails dos agentes de suporte da Microsoft, números de protocolo, medidas e comentários e notas internas consideradas “confidenciais”[5].
No ano de 2013, a varejista Target também sofreu grandes danos à sua imagem em razão de um ciberataque, que teve início quando hackers roubaram credenciais de um fornecedor de serviços da varejista, por meio de uma campanha de spear phishing, por e-mail. O ataque afetou cerca de 70 milhões de consumidores, que tiveram dados de cartões de créditos e de débitos vazados; somente no Canadá, estima-se que os prejuízos ultrapassaram US$ 2,5 bilhões de dólares, forçando-a encerrar as atividades no país. Diante dessa realidade, a varejista teve que se desdobrar para convencer os consumidores a comprarem novamente via online[6].
Somente em 2017 que foi viabilizado um acordo em US$ 18,5 milhões de dólares, oportunidade onde concordou em aumentar a sua segurança digital. Além desses dispêndios, a Target teve que desembolsar cerca de US$ 202 milhões de dólares em honorários advocatícios[7].
Da grande empresa de tecnologia (big tech) à consolidada empresa de varejo, os precedentes demonstram que até as corporações que, em tese, possuem times especializados e preparados para proteger suas infraestruturas não escapam das manchetes de incidentes de segurança de dados pessoais.
1.1. Tipos de ataques mais corriqueiros
Os números de incidentes de segurança não param de crescer, somente no segundo trimestre de 2020, houve um aumento de 9% nos ataques em comparação ao primeiro trimestre de 2020, conforme estudo divulgado pela Positive Technologies[8], importante fornecedora global de soluções em segurança corporativa.
O estudo traz uma lista dos principais tipos de ataques no segundo trimestre de 2020. O ataque cibernético mais comum, o malware, pode ser definido como todo e qualquer tipo de programa (ou software) malicioso que pode infectar um computador ou smartphone. O ransomware e o spyre foram os trojans[9] mais comuns em ataques de malware.
O ransomware é um termo abrangente usado para descrever uma classe de malwares que serve para extorquir digitalmente as vítimas, fazendo-as pagar por um preço específico (LISKA; GALLO, 2017, p. 16). Esta modalidade é muito temida pois trata-se de uma espécie de “sequestro de arquivos”, normalmente o pagamento é exigido via Bitcoin.
Por outro lado, o spyware é um software espião que tem como objetivo monitorar atividade de um sistema e enviar as informações coletadas para terceiros (DANTAS, 2011, p. 37). Esse malware pode monitorar o que a vítima digita em seu teclado (keylogger), os sites navegados, bem como informações sobre logins.
Existem outros tipos de ataques que também são muito conhecidos por utilizarem principalmente a engenharia social[10], como no caso do phishing, do spear phishing e do whaling. Enquanto os golpes de phishing são enviados em massa e não possuem como alvo indivíduos específicos, o spear phishing já possui um alvo determinado.
Uma boa parte dos ataques de phishing são enviados por e-mail, nessa modalidade o cibercriminoso registra um domínio falso que pareça com a de uma organização genuína e em seguida envia milhares de solicitações genéricas; contudo esses ataques não se limitam ao e-mail, eles também podem ser enviados por SMS ou por meio de outras mídias sociais. Os efeitos do phishing podem variar, na maioria dos casos pode levar a roubo de identidade ou dinheiro e também é uma técnica eficaz para espionagem corporativa ou roubo de dados (BELCIC, 2020).
Já o spear phishing, além de ser focado em uma pessoa, ou uma organização específica, ele é executado após um processo de pesquisa sobre o alvo, é comum que esses ataques venham de uma fonte confiável para o usuário, como o e-mail ou website. Ataques como esses têm por objetivo roubar informações pessoais, como logins, senhas, dados do cartão de crédito ou até dados sensíveis de uma organização, como sua base de clientes e contatos, dados desses clientes, e dados internos da organização em si.
Quando os ataques são bem-sucedidos e as informações são efetivamente roubadas, elas podem ser usadas para manipular preços de ações, efetuar transferências bancárias, assumir identidades, revelar segredos industriais ou governamentais, espionar concorrência, dentre outras possibilidades[11].
Em 2014, a Sony Pictures foi alvo de ataques de spear phishing, na ocasião milhares de arquivos, como acordos comerciais, documentos financeiros e informações de funcionários, foram subtraídos. Os funcionários foram atraídos por e-mails falsos da Apple (KEIZER, 2015).
Por outro lado, o whaling, que é bem semelhante ao spear phishing, utiliza métodos como e-mail e spoofing de site[12] para atrair o alvo e enganá-lo, o que diferencia este método é o alvo. Em vez de enviar mensagens para um grupo de usuários, o golpista identifica a pessoa da qual ele possa conseguir as informações que precise, exemplo um CEO de uma empresa.
Além desses mencionados, há os ataques na web, os quais consistem na ação de extorquir operadores de sites, ameaçando-os roubar bancos de dados de clientes ou de tirar os sites do ar.
Por fim, oportuno destacar o hacking. Este visa explorar vulnerabilidades em hardware e software; entre as principais formas de vulnerabilidade encontram-se a falta de atualização de sistemas operacionais e outros softwares, o uso de softwares não homologados ou ainda de softwares desenvolvidos segundo padrões não adequados de segurança. Falhas em componentes de hardware também têm sido descobertas e exploradas pelos criminosos cibernéticos.
Em um outro relatório de 2020, a Positive Technologies revelou que 71% das empresas americanas possuem pelo menos uma falha simples de segurança que pode favorecer ataques de cibercriminosos. O relatório é baseado em dados anônimos de organizações que tiveram suas redes testadas por hackers éticos e pesquisadores científicos[13].
2. A segurança de dados pessoais na legislação brasileira
Apesar de sua importância e perceptível impacto, a Lei Geral de Proteção de Dados não possui exclusividade ao tratar de dados pessoais. O que a torna singular é a sua abrangência, com a enunciação de princípios, direitos, responsabilidades e outras aplicações (FRAZÃO; TEPEDINO; OLIVA, 2019, p. 420).
Para Eduardo Magrani (MAGRANI, 2019, p. 56), a nossa Carta Magna protege, de maneira esparsa, o direito à privacidade, englobando, segundo a doutrina, a proteção aos dados pessoais, tanto no meio físico como no digital.
A Constituição Federal de 1988 prevê a inviolabilidade da vida privada e da intimidade, em seu art. 5º, X. Já o art. 5º, XII, dispõe sobre a inviolabilidade do sigilo de correspondência e das comunicações telegráficas, de dados e telefônicas. Para complementar, o art. 5º, LXXII, regulamenta que o habeas data será concedido “para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público” ou para “retificação de dados”.
Indo para os dispositivos da legislação infraconstitucional, o art. 21, do Código Civil, determina que o juiz, a requerimento do interessado, poderá tomar medidas para prevenir ou fazer cessar dano à privacidade. No Código de Defesa do Consumidor, temos a Seção VI, do Capítulo V, denominado como “Dos Bancos de Dados e Cadastros de Consumidores”; o art. 43, deste diploma legal, prevê que o consumidor terá acesso às suas informações, tal qual deverá ser comunicado em caso de abertura de cadastro em base de dados ou retificar os seus dados ali registrados.
Conforme leciona Danilo Doneda (DONEDA, 2010, p. 50):
Na legislação infra-constitucional, destaca-se o Código de Defesa do Consumidor, cujo artigo 43, estabelece uma série de direitos e garantias para o consumidor em relação às suas informações pessoais presentes em “bancos de dados e cadastros”, implementando uma sistemática baseada nos Fair Information Principles à matéria de concessão de crédito e possibilitando que parte da doutrina verifique neste texto legal o marco normativo dos princípios de proteção de dados pessoais no direito brasileiro[14].
Por sua vez, o Marco Civil da Internet (Lei 12.965/2014) foi um importante mecanismo para o cidadão assegurar o seu direito à autodeterminação informativa em relação a dados pessoais fornecidos a terceiros. Patricia Peck (PECK, 2013, p. 53) ressalta que “quando se fala no Marco Civil da Internet, seu propósito inicial é garantir a privacidade de dados de consumidores e ter a guarda segura dos mesmos”.
Neste sentido, o art. 7º, do Marco Civil da Internet (MCI), estabelece uma série de direitos e garantias dos usuários, tais como inviolabilidade e sigilo do fluxo de suas comunicações pela internet e a inviolabilidade e sigilo de suas comunicações privadas armazenadas.
No que tange ao tratamento de dados armazenados pelos provedores de conexão[15] e pelos provedores de aplicações[16], o Marco Civil da Internet dispõe os seguintes parâmetros de segurança:
Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão[17], sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.
Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet[18], sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
Cabe mencionar a Resolução Nº 4.658/2018, do Banco Central do Brasil (BACEN), que estabelece sobre política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas pelo Banco Central.
Em suma, a resolução obriga as instituições a definir, implementar, divulgar e manter política de segurança cibernética formulada a partir de princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas utilizados. No mais, a resolução ainda impõe que as instituições deverão implementar um plano de ação e de resposta a incidentes.
Recentemente, com o advento do Decreto 9.936/19, que regulamenta o Cadastro Positivo, ficou estabelecido que em caso de vazamento de informações de cadastrados ou de outro incidente de segurança, o gestor de banco de dados deverá comunicar o fato no prazo de dois dias, junto ao órgão competente, contado da data do conhecimento do incidente (art. 18, § 1º)[19].
Oportuno trazer à tona o caso de incidente de segurança do Banco Inter, em 2018. No decorrer da investigação, o Ministério Público do Distrito Federal e Territórios (MPDFT) constatou o comprometimento de dados cadastrais de quase 20 mil correntistas, alguns chegaram a ter números de contas e senhas vazados. Na ação, o promotor Frederico Ceroy citou o Código de Defesa do Consumidor, o Código Civil, dentre outros diplomas legais, ou seja, em nenhum momento houve amparo da Lei Geral de Proteção de Dados[20].
Apesar do pedido do Ministério Público para que a fintech pagasse indenização de R$ 10 milhões de reais, o Banco Inter fechou acordo em R$ 1,5 milhão de reais em indenização[21].
3. A segurança e boas práticas dispostas na Lei Geral de Proteção de Dados (LGPD)
A Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural ou por pessoa jurídica de direito público ou privado. O artigo 5º, X, considera o tratamento como:
[...] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Os responsáveis por praticarem qualquer uma dessas operações acima são considerados agentes de tratamento; dentre os agentes de tratamento temos o controlador[22] e o operador[23]. Tanto o controlador, como o operador possuem a obrigação de observar a boa-fé, além de uma série de outros princípios que estão elencados no art. 6º, da LGPD, dentre estes princípios darei ênfase à segurança[24], à prevenção[25] e à responsabilização e prestação de contas[26].
A Lei Geral de Proteção de Dados ainda traz um capítulo inteiro sobre segurança e boas práticas. O art. 46, caput, destaca que o controlador e o operador deverão aderir:
[...] medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Outrossim, as medidas de segurança não se limitam somente àquelas no âmbito técnico, de modo que se estendem também ao âmbito administrativo. Neste sentido, afirma Rafael Maciel (MACIEL, 2019, p. 69) que “muitos dos incidentes de segurança não estão relacionados a falhas de sistema informático e sim a erros provocados por falhas humanas”, afirmação que vai ao encontro do que observara Kevin Mitnick e William Simon, como já mencionado em capítulo anterior.
A legislação define que a autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput (art. 46, § 1º, LGPD). Esta função caberá à Autoridade Nacional de Proteção de Dados (ANPD), com isso busca-se garantir o controle de acesso, impedir vazamentos e perdas de dados.
3.1. Privacy by Design
O art. 46, § 2º, da LGPD, estabelece que as medidas técnicas e administrativas devem ser pensadas desde a concepção do produto até a sua execução. Assim, a Lei Geral de Proteção de Dados adota a figura do privacy by design (privacidade desde a concepção), prestigiada no regulamento europeu, que engloba a obrigatoriedade de que aos novos produtos e serviços seja feita análise sobre aderência a medidas de segurança, técnicas e administrativas, que garantam a proteção dos dados e evitem formas de tratamentos inadequados ou ilícitos (OPICE BLUM, p. 19).
Apesar de ser considerada inovadora na legislação de proteção de dados brasileira, a expressão foi criada na década de 90, por Ann Cavoukian, ex-comissária de Informação e Privacidade da Província de Ontário, no Canadá.
Segundo Ann Cavoukian (CAVOUKIAN, 2011), pelo privacy by design, a proteção à privacidade provém de: (i) sistemas de tecnologia da informação (IT systems); (ii) práticas negociais responsáveis (accountable business pratices); e (iii) design físico e infraestrutura de rede (physical and networked infrastructure).
Para Bruno Bioni (BIONI, 2019, p. 231), privacy by design é “a ideia de que a proteção de dados pessoais deve orientar a concepção de um produto ou serviços, devendo eles ser embarcados com tecnologias que facilitem o controle e a proteção das informações pessoais”.
Os pilares que formam o privacy by design são sete:
- Pró-ativo não Reativo; Preventivo não Corretivo (Proactive not Reactive; Preventative not Remedial): regra trazida pelas novas concepções de compliance, este princípio é a representação de que os desenvolvedores devem prever e antecipar os eventos que possam incorrer em incidentes de violação de privacidade;
- Privacidade como Configuração Padrão (Privacy as the Default Setting): por meio do qual a configuração padrão de determinado sistema deve preservar a privacidade do usuário;
- Privacidade Incorporada ao Design (Privacy Embedded into Design): a privacidade deve estar incorporada à arquitetura de sistemas e modelos de negócio;
- Funcionalidade Total - Soma Positiva, não Soma Zero (Full Functionality — Positive-Sum, not Zero-Sum): devem ser incorporados todos os interesses envolvidos, de forma a evitar falsas dicotomias, como privacidade vs. segurança, demonstrando-se que a coexistência é possível;
- Segurança de Ponta a Ponta - Proteção Completa do Ciclo de Vida (End-to-End Security — Full Lifecycle Protection): incorporando-se a privacidade ao sistema de TI antes do primeiro elemento de informação ser coletado, esta é estendida para todo o ciclo de vida da informação;
- Visibilidade e Transparência - Mantê-lo Aberto (Visibility and Transparency — Keep it Open): um dos princípios mais importantes, pois deve ser assegurado a todos os envolvidos que as práticas negociais e as tecnologias são operacionalizadas de acordo com as premissas e objetivos definidos para o tratamento, estando sujeitos à verificação independente;
- Respeito pela Privacidade do Usuário – Mantenha o Foco no Usuário (Respect for User Privacy — Keep it User-Centric): exige que os desenvolvedores e operadores dos sistemas priorizem os interesses dos indivíduos, oferecendo altos padrões de privacidade, notificações adequadas e opções fáceis de serem compreendidas pelos usuários.
Desse modo, desenvolvedores/fabricantes de soluções tecnológicas devem assumir uma posição no sentido de que o compliance com a privacidade não é somente um problema de seu cliente (BRANCHER; BEPPU, 2019, p. 287). Acrescente-se que ao seguir tais premissas, além de cumprir uma função social, as empresas estarão mitigando risco de incidentes.
3.2. Governança e plano de resposta a incidentes de segurança
O termo “incidente de segurança” pode ter uma definição ampla, em resumo, o acesso não autorizado, a destruição de dados, a perda de dados, a alteração de dados e qualquer forma de tratamento inadequado ou ilícito são alguns tipos de incidentes de segurança.
Conforme estabelece o art. 48, da LGPD, o controlador terá o dever de comunicar à autoridade nacional e ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares e mencionará: (I) a descrição da natureza dos dados pessoais afetados; (II) as informações sobre os titulares envolvidos; (III) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (IV) os riscos relacionados ao incidente; (V) os motivos da demora, no caso de a comunicação não ter sido imediata; e (VI) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ao receber a comunicação, a autoridade nacional verificará a gravidade do incidente e, caso necessário, determinará ao controlador a adoção de algumas providências, como: (I) ampla divulgação do fato em meios de comunicação; e (II) medidas para reverter os efeitos do incidente.
Os incisos I e II, do art. 50, estabelecem os requisitos que um programa de governança em privacidade deve conter. Ana Frazão, Milena Oliva e Viviane Abilio (FRAZÃO; TEPEDINO; OLIVA, 2019, p. 707) destacam que “a LGPD orienta os controladores a inserirem as políticas de governança em privacidade em sua estrutura geral de compliance, com a previsão de mecanismos de supervisão internos e externos”.
Rafael Maciel (MACIEL, 2019, p. 74) explica que a adoção de boas práticas e um programa de governança em privacidade são fatores considerados na aplicação das sanções. O autor acrescenta que o programa deverá ser compatível com o porte da organização e com o tipo e volume de dados tratados.
Um dos pontos de grande relevância para este trabalho está na elaboração de um plano de segurança em caso de incidentes que envolvam vazamento de dados pessoais. Em que pesem todas as medidas preventivas técnicas e de Governança adotadas, a possibilidade de um incidente não pode ser descartada em nenhum momento, a importância de um plano contra incidentes pode ser encontrada no art. 50, §2º, I, g, da própria LGPD, o qual integra uma das boas práticas elencadas na Lei Geral de Proteção de Dados.
O escritório Opice Blum (OPICE BLUM, 2020, p. 39) destaca cinco pilares de um plano de resposta a incidentes de segurança em dados pessoais, sendo eles:
(i) Designação prévia de um comitê de crise: este pilar estabelece quais colaboradores que atuarão em caso de incidente e as suas respectivas funções;
(ii) Estruturação prévia das respostas necessárias: onde fica designado um plano de resposta, quais colaboradores serão responsáveis por redigi-las e validá-las e como essas respostas serão direcionadas aos titulares, parceiros e imprensa. Saliente-se que tudo isso deve ser pensado com antecedência;
(iii) Comunicação às autoridades competentes: a comunicação deverá ocorrer de forma imediata e completa, lembrando-se que, além de eventuais medidas técnicas adotadas, como tornar os dados pessoais ininteligíveis, o prazo da comunicação também comporá alguns dos fatores importantes em termos reputacionais e jurídicos.
(iv) Identificação, coleta e preservação de evidências: este ponto é importante, pois tratará de como a organização reagirá com relação ao episódio, seja na identificação do responsável pelo incidente, na coleta de evidências e, por fim, na preservação, as quais não deverão apresentar indícios de adulteração;
(v) Elaboração de relatório final do incidente e revisão dos procedimentos: a elaboração deste relatório tem como escopo indicar os fatos que ocorreram, as providências tomadas, medidas técnicas adotadas etc. Dessa forma, a organização poderá visualizar a evolução dos procedimentos de Governança e, por conseguinte, explorá-la.
Um estudo encomendado pela IBM (IBM, 2019), em 2019, apontou que em escala global, 77% das organizações não possuem um plano de resposta a incidentes de segurança cibernética. Por outro lado, considerando as organizações pesquisadas e que têm um plano em funcionamento, 54% não realiza testes regularmente, ou seja, tornando-as menos preparadas para gerenciar com eficácia processos complexos e a coordenação que deve ocorrer após algum incidente de segurança.
4. Conclusão
Como observado neste trabalho, a Lei Geral de Proteção de Dados é um marco inicial para a efetivação da segurança e do sigilo de dados pessoais. Em palestra conferida no Rio de Janeiro no ano de 2003, o célebre jurista Stefano Rodotà já alertava que “nós somos os nossos dados”[27].
Nos dias atuais, somos capazes de enxergar com maior lucidez a importância dos dados pessoais e o quão valioso eles são, caso contrário, não existiriam massivas tentativas de ataques cibernéticos que, em alguns casos, quando bem sucedidos, resultam em incidentes de segurança.
Com a adoção do privacy by design, por exemplo, a Lei Geral de Proteção de Dados institui que a privacidade deve existir desde a concepção, ou seja, mudando o que muito acontece na prática quando as empresas ou governos acabam deixando o aspecto da segurança para último plano e, quando se dão conta sobre alguma violação, já é muito tarde para reverter a situação.
A adoção de um plano de resposta a incidentes é outro fator que deve ser colocado em prática, do contrário, isto pode ocasionar eventuais danos à reputação de uma empresa, seja perante à Autoridade Nacional de Proteção de Dados (ANPD), aos titulares dos dados, parceiros, dentre outros.
No Brasil, a Lei Geral de Proteção de Dados é uma mudança de paradigma e quanto mais as empresas seguirem com o propósito voltado à viabilização da segurança e sigilo de dados - levando-se em conta o porte e o volume de dados que possui -, estarão em comprometimento não somente com a lei, mas com os titulares dos dados, e como consequência estas terão muitos ganhos inerentes à sua imagem e credibilidade.
