Com dois anos de vigência, a Lei Geral de Proteção de Dados (Lei nº 13.709/18; LGPD) ainda vem sendo discutida. Baseada no Regulamento Geral sobre a Proteção de Dados (GRPD) da União Europeia, aqui no Brasil, a Lei está vigente desde setembro de 2020, e ainda é um grande desafio, em virtude do avanço tecnológico e das novas formas de comunicação que surgem a cada dia. Mas, afinal, o que ainda falta para que as empresas não se tornem alvos tão fáceis de crimes cibernéticos?
De acordo com o estudo do FortGuard Labs, o Brasil sofreu 31,5 bilhões de tentativas de ataques cibernéticos de janeiro a junho deste ano, resultando em um aumento de 94% em relação ao mesmo período do ano passado: 16,2 bilhões. Assim, o país ocupa a segunda posição no ranking de países que mais sofreram esse tipo de ataque na América Latina. Para Claudinei Elias, CEO e Fundador da Bravo, empresa pioneira em tecnologia e consultoria especializada na implementação e oferta de soluções de Governança, Riscos, Compliance e ESG, o aumento de ataques cibernéticos é significativo e só transparece o quanto as empresas, quando compram uma tecnologia, se preocupam com outras funcionalidades, e negligenciam a segurança da informação.
É por essa falta de identificação somada com o não tratamento de riscos e vulnerabilidades das empresas, que os colaboradores não se conscientizam sobre os principais motivos que permitem os ataques cibernéticos nas organizações. Para o DPO e especialista em LGPD da Bravo, Marcelo Pereira, se por um lado a LGPD exige que possuidores de dados se adequem às regras sob pena de responsabilização, por outro, cibercriminosos passaram a invadir sistemas com softwares mais sofisticados e pedidos de resgates, visto que, além da pena prevista em lei por vazamento de dados, as empresas passam a ser vistas sob má reputação.
“Infelizmente houve uma considerável evolução nas técnicas de exfiltrações de dados por parte dos cibercriminosos e que não vem sendo acompanhada, no mesmo ritmo, pelas empresas brasileiras em suas adequações à LGPD, o que torna o pilar de Tecnologia da Informação (Infraestrutura de TI & Cybersecurity) extremamente vulnerável a graves e prejudiciais incidentes de segurança que, além de multa por descumprimento às determinações legais, poderá gerar prejuízos institucionais ainda maiores e irreversíveis à imagem da corporação, principalmente se uma das sanções aplicadas pela ANPD for a publicização da Infração, ato que obriga a própria empresa a divulgar publicamente a infração cometida. Quer prejuízo maior do que ser uma empresa conhecida por não garantir a proteção dos seus dados de negócios e pessoais de seus titulares? Um prato cheio para a concorrência, não é mesmo?!”, afirma o especialista.
Balanço sobre os dois últimos anos de LGPD e a expectativa: “Temos observado uma adoção acelerada da lei em alguns setores mais expostos. Junto a isso, há também uma adoção de tecnologia para suportar as demandas de privacidade de dados tanto da própria companhia quanto do próprio mercado. As exposições às questões de segurança e privacidade têm aumentado substancialmente e de várias fontes, inclusive dos aspectos ESG onde a questão da privacidade é um pilar”, destaca Elias. Ele contextualiza ainda que a atenção deve ser voltada desde o consentimento de cookies, consentimento universal até à Gestão dos Riscos dos fornecedores, elaboração de um plano eficaz e satisfatório de gestão de incidentes de segurança, Gerenciamento de Risco de Tecnologia da Informação, que são entregas realizadas de forma automatizada e integradas para visualização de todo o ciclo de vida dos dados, identificação de recomendações e, consequentemente, mitigação dos riscos.
Visto que dois anos da LGPD obriga as empresas a prestarem contas, a alternativa é prestar atenção na empresa como um todo. O especialista acredita que a prevenção ainda é o melhor caminho, e ela se resulta de um olhar mais cuidadoso nesse âmbito. “Com o advento da lei e a proximidade na aplicação de multas pela ANPD, já está mais do que na hora das empresas se adequarem à LGPD, atuando de forma preventiva, mitigando riscos e promovendo uma adequação completa por meio de um projeto de implementação que contemple os três pilares essenciais de toda a adequação, Segurança da Informação (processos e governança), jurídico e Tecnologia da Informação (Infraestrutura de TI & Cybersecurity). Esta é uma realidade necessária e iminente, até mesmo para atenuar eventuais sanções que venham a ser aplicadas às empresas, retroativas a agosto de 2021, considerando que a adoção de boas práticas e de governança ou adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, serão consideradas no valor base das multas”, finaliza.
