Minha empresa sofreu um data breach – E agora?

  Nos últimos anos, vimos crescer o número de grandes incidentes tomando as manchetes da mídia nacional e internacional. O que preocupa o mercado hoje é que, mesmo sem a entrada em vigor da LGPD, já temos multas e indenizações alarmantes por razões de incidentes com dados pessoais. Recentemente, tivemos Banco Inter (R$ 1,5 milhão), Netshoes (R$ 500 mil), Atlas Quantum (R$ 10 milhões, ainda em discussão). Já se falarmos no cenário da União Europeia, onde a GDPR está em vigor, foi identificado em um levantamento de fevereiro de 2019 que, em 8 meses, mais de 59 mil data breaches foram reportados e 91 multas foram aplicadas. Entre elas, ganhou destaque a sanção de 50 milhões de euros aplicada à gigante da tecnologia Google, pela Autoridade Nacional Francesa.

  Os números assustam aqueles que hoje exercem atividades que envolvem tratamento de dados pessoais, abrangendo diversos setores que sequer são diretamente ligados à área de tecnologia em suas atividades fim. A cada dia, parece mais inconcebível pensarmos em atividades que, em momento algum, façam uso de bancos de dados, independente do ramo ou indústria.

  A questão é: o que a nossa LGPD diz sobre tais incidentes? O que fazer caso o pior aconteça? Quais são as sanções e quais são os critérios de aplicação?

  Ainda que a empresa jure que está “100% em compliance com a GDPR/LGPD”, não significa que seja impossível ser atingida por um incidente. Isso porque nem todo incidente é previsível ou completamente evitável.

  Novas tecnologias aparecem, ataques mais sofisticados são desenvolvidos de tempos em tempos. Para ilustrar esra situação, caso o leitor já tenha se esquecido, trago a breve recordação do WannaCry, o malware que surpreendeu o mundo. O ransomware explorava uma vulnerabilidade no Windows, e, nos primeiros ataques em que foi utilizado, não se tratava de algo completamente previsível ou amplamente conhecido. A popularização aconteceu somente após o surto de maio de 2017. “Ah, então você está dizendo que não adianta desenvolver um programa de adequação à LGPD, já que o risco existe de qualquer maneira?”

  Calma lá! Vamos à lei.

  Você já deve ter ouvido sobre as sanções da LGPD (e muito provavelmente por isso está aqui), mas vamos relembrar rapidamente:

• Advertência (com prazo para tomar medidas corretivas).
• Multa simples (de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada ao total de R$ 50 milhões por infração).
• Multa diária (observando o mesmo limite).
• Publicização da infração.
• Bloqueio dos dados pessoais referentes à infração.
• Eliminação dos dados pessoais referentes à infração.

  Porém, existe algo ainda mais importante do que conhecer as sanções: conhecer os parâmetros e critérios a serem considerados na hora da aplicação da sanção:

• A gravidade e a natureza das infrações (e dos direitos pessoais afetados).
• A boa-fé do infrator.
• A vantagem auferida (ou pretendida) pelo infrator.
• A condição econômica do infrator.
• A reincidência.
• O grau do dano.
• A cooperação do infrator.
• A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.
• A adoção de política de boas práticas e governança.
• A pronta adoção de medidas corretivas.
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

  Ou seja, a lei considera, sim, que você possa ser um “infrator do bem”. Sua empresa adotou todas as medidas possíveis e impossíveis para prevenir o incidente, fez de tudo para mitigar os danos quando aconteceu, estava realizando um tratamento de acordo com os princípios e exigências da LGPD. Mas, aconteceu.

  E é aí que entra que uma postura ética e um esforço real em cumprir com as exigências regulatórias de proteção de dados pessoais pode gerar recompensas. Isso tudo será levado em consideração no “julgamento final” perante à LGPD.

  Ok, o data breach aconteceu: como devo proceder?

  Em primeiro lugar, a lei coloca a obrigação de comunicar o incidente à autoridade nacional e ao titular, em prazo razoável (este será definido pela Autoridade Nacional – aguardemos).

  Nessa comunicação deve conter:

• A descrição da natureza dos dados afetados (por isso é tão importante organizar os bancos de dados.
• As informações sobre os titulares envolvidos (você precisará saber quem deverá ser comunicado).
• A indicação das medidas técnicas e de segurança utilizadas para proteção de dados (você precisará provar que o incidente foi uma fatalidade e que não foi resultado de uma omissão).
• Os riscos relacionados ao incidente (aqui entra a importância de um mapeamento de dados bem feito: saber as proporções que o incidente pode tomar é essencial para uma contenção direcionada e com chances de sucesso. Pelo bem dos direitos dos titulares, mas também da sua empresa).
• Os motivos da demora, no caso de a comunicação não ter sido imediata (um monitoramento constante dos bancos e fluxos de dados pode significar uma comunicação mais tempestiva e um timing diferencial para mitigar os danos. Se isso não parecer atrativo o suficiente, é bom lembrar que a Autoridade irá cobrar uma justificativa sobre a demora. Assim, é melhor os seus clientes e parceiros descobrirem o incidente por você do que por terceiros).
• As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo (traçar um plano de resposta com antecedência é muito mais coerente do que fazer tudo na hora do desespero. O momento pós data breach deveria ser reservado apenas para a execução do plano de ação, ou, no máximo, para pequenos ajustes naquilo que já foi planejado considerando as peculiaridades da situação fática).

  Então, tenha em mente: adotar as melhores práticas e se preocupar com proteção de dados é a melhor escolha para evitar que o pior aconteça; mas também para a hipótese de o pior acontecer. Um incidente pode significar um dano reputacional, uma multa milionária, uma queda nas ações. Ou pode ser somente um pequeno susto completamente possível de ser contornado por uma equipe especializada e uma mobilização interna organizada.

  Proteção de dados não é improviso. É algo que exige tempo, mapeamento, estudo, plano de ação. Não deixe para se preocupar apenas quando a sua empresa for acometida.