Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) visa a proteger os direitos fundamentais do cidadão à privacidade. Por trazer uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados, a legislação tem o grande mérito de colocar as pessoas no centro da relação com as empresas com as quais interagem.
Como sabemos, a lei determina diversos deveres estabelecidos às empresas com relação à finalidade da coleta, uso, compartilhamento e proteção das informações e até com relação às violações de segurança e de privacidade. Visando a atender à nova norma, corporações de todos os setores e portes foram desafiadas a olharem para seus modelos de negócio com essa nova mentalidade de proteção, repensando suas políticas e processos, e redefinindo suas escolhas de negócio.
E apesar do longo desafio, a LGPG abriu um leque de oportunidades de melhorias, como o fomento à adoção mais ampla e efetiva de regras de boas práticas de gestão e proteção de dados. A partir dela, passamos a notar que, em muitas companhias, assuntos de segurança da informação, antes restritos aos ambientes mais técnicos, passaram a ser amplamente discutidos pela alta gestão, com executivos patrocinando e viabilizando a incorporação de medidas técnicas e de governança.
A norma também trouxe a oportunidade de aperfeiçoamento das políticas de governança de dados já existentes e de adaptação da cultura organizacional para um ambiente mais consciente da responsabilidade que é coletar tais elementos.
O que me chama atenção é que tais questões se tornaram tão importantes para pessoas jurídicas e consumidores que já é possível notar a valorização de tais conceitos em campanhas publicitárias e nas estratégias de distribuição de produtos e serviços, trazendo-os como vantagem competitiva para a diferenciação de marcas.
Riscos: como conhecê-los e gerenciá-los?
Dentre os riscos cibernéticos, os relacionados à privacidade de dados e, por consequência, o regulatório, também têm se tornado uma crescente preocupação das corporações.
Os profissionais de segurança da informação CISOs, CIOs e CEO's, entre outros, possuem a difícil tarefa de tomar as melhores decisões com relação a alocações de investimentos, tecnologias de segurança e controles para mitigar, transferir ou aceitar certos níveis de ameaças e seus consequentes prejuízos.
Eles devem ter uma visão clara dos perigos a que estão expostos, lançando mão de ferramentas e metodologias respeitadas. Assim, fica mais fácil endereçar estrategicamente cada vulnerabilidade para mitigar e tratar cada risco. A partir desse ponto também é possível definir o apetite das organizações para retê-lo internamente, bem como o de transferi-lo para uma apólice de seguros.
Uma estratégia bem-sucedida desse tipo de gestão necessariamente demanda o conhecimento dos riscos que as companhias têm internamente. Para tal, elas podem recorrer a metodologias de análise de risco de segurança, como a NIST ou a ISO 27001, por exemplo, ou até a um diagnóstico de impacto de negócio, no qual cada risco organizacional é avaliado quanto à probabilidade de ocorrer e em relação aos danos que pode causar.
Dessa forma, as organizações interessadas devem procurar ferramentas para gerir de maneira adequada e eficiente essa questão, buscando conhecimento e proteções de acordo com a legislação vigente e com cada modelo de negócio. Porém, um passo anterior a isso consiste, como falei antes, na tomada de consciência sobre as ameaças que existem dentro da instituição para, em seguida, garantir que haja engajamento da alta administração com a prática da estratégia de mitigação.
Seguro e a privacidade
O Global Risks Report 2021, estudo produzido pelo Fórum Econômico Mundial (WEF) em parceria com a Zurich Insurance Group, as universidades de Oxford e de Singapura e a Marsh & MacLennan, entre outros parceiros, apontou que os ataques cibernéticos estão entre os 5 principais riscos que podem ocorrer no prazo de 2 anos. A título de comparação, na edição anterior, de 2020, eles estavam na 7ª posição em probabilidade – e em um horizonte de prazo mais longo, de 10 anos.
O perceptível aumento de casos de vazamentos de informações pessoais nos últimos anos jogou mais luz sobre esses desafios de responsabilidade civil, de segurança e proteção de dados frente às ameaças cada vez mais presentes no dia a dia de empresas e pessoas – não só no Brasil, mas em todo o planeta.
Nesse sentido, a companhia pode até treinar os funcionários e ter os melhores firewalls e softwares de detecção de intrusões. Mas, no final do dia, ainda pode ocorrer um incidente que afete a rede e cause violação e exposição da vida das pessoas e de instituições parceiras.
Quando isso acontece, a apólice de seguros inclui coberturas de pagamento de custos e despesas para ajudar as corporações a lidarem com a crise e a cumprirem com suas responsabilidades perante as pessoas físicas atingidas.
Caso uma empresa seja responsável por um vazamento de dados pessoais, por exemplo, ela precisa avaliar o impacto à privacidade e aplicar mecanismos de mitigação desses riscos, assim como comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e, em alguns casos, os titulares a respeito dos vazamentos ocorridos, com as devidas medidas de contenção ou mitigação aplicadas nesses eventos.
Nessas situações, há a necessidade de contratar técnicos para determinar a extensão do dano e de especialistas para mitigar as exposições e auxiliar as companhias a cumprirem seus deveres de transparência/notificação com relação às pessoas físicas. Tais medidas têm o objetivo de reduzir os efeitos negativos da exposição indevida.
Nesse cenário, torna-se fundamental inteirar-se das soluções e coberturas disponíveis no mercado segurador para soluções de proteção de riscos cibernéticos.
A primeira é a de Responsabilidade Civil por Atos de Violação, que inclui pagamento de custos de defesa e danos causados a terceiros, decorrentes de uma violação de segurança de dados por ataque cibernético. A segunda é a Violação de Privacidade, que reembolsa ao segurado os custos e despesas incorridas para responder, como diz o nome, a uma violação de privacidade causada por ataque cibernético, assim como os custos incorridos com investigação, monitoramento de crédito e despesas com atividades de Relações Públicas, e até mesmo a montagem de um call center para cumprir com o dever de transparência com as pessoas físicas, que é uma das exigências da LGPD.
Nesse desafio de proteção de dados, investir em gerenciamento de risco é certamente o melhor caminho. Conhecer as vulnerabilidades que se têm internamente, direcionar esforços e investimentos adequados, ter políticas e métricas que sejam efetivas e aplicáveis a cada modelo de negócio, assim como saber responder em caso de um incidente, vão levar a empresa a ter mais sucesso na tarefa de mitigação. Para tal, as seguradoras podem ajudar, e muito.
Hellen Fernandes, gerente de Linhas Financeiras da Zurich no Brasil.
