Temos observado que a frequência e a complexidade dos ataques cibernéticos está crescendo diariamente, tornando-se crucial para as empresas não apenas responder de forma eficaz os incidentes, mas também garantir que todos os setores internos – de TI e Segurança da Informação (SI) ao conselho administrativo (board), departamento jurídico e comunicação – estejam alinhados em sua linguagem e compreensão dos riscos e protocolos envolvidos.
Em um cenário regulado por normativas rígidas, como a LGPD, com regras específicas para comunicação de incidentes, a função do jurídico especializado em proteção de dados e cibersegurança é fundamental. Esses profissionais não só orientam a organização quanto as obrigações legais, mas também asseguram que todas as ações tomadas estejam em conformidade com as leis aplicáveis, evitando penalidades que podem incluir multas severas e danos reputacionais significativos.
Na gestão de crises e resposta a incidentes cibernéticos sob a égide da Lei Geral de Proteção de Dados (LGPD) e outras legislações brasileiras pertinentes, o papel do suporte jurídico é multifacetado e essencial. Inicialmente, o jurídico deve realizar uma análise preliminar para classificar a natureza do incidente e verificar a aplicabilidade da LGPD ou de outras normativas específicas. Em seguida, deve-se assegurar a execução de todas as obrigações legais, incluindo a notificação dos titulares dos dados e da Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo de até 72 horas, caso a violação possa acarretar risco ou dano relevante aos indivíduos afetados.
Além disso, o suporte jurídico deve orientar a organização na documentação completa do incidente, incluindo as medidas tomadas para mitigar os danos e as deficiências observadas que permitiram a ocorrência do incidente. Esta documentação é vital tanto para defesa em possíveis ações regulatórias ou judiciais quanto para a melhoria contínua das práticas de segurança da informação. Outra função crítica é a revisão e o ajuste das políticas de privacidade e procedimentos de segurança para prevenir novos incidentes, bem como a preparação e o treinamento de equipes internas para responder a consultas e reclamações de titulares de dados e autoridades.
Como se observa, o jurídico, com o auxílio do departamento de comunicação, deve estar envolvido ativamente no diálogo com os stakeholders, incluindo clientes, parceiros e autoridades, para garantir que todas as comunicações sejam precisas, transparentes e construtivas, visando minimizar impactos negativos à confiança na organização e mantendo a conformidade regulatória em todas as etapas do processo de resposta ao incidente.
Vale lembrar que a eficácia da resposta a um incidente cibernético é amplamente dependente da harmonização das linguagens entre os diversos setores da empresa. O setor de TI deve ser capaz de comunicar claramente a natureza técnica do incidente, enquanto o departamento jurídico deve traduzir essas informações em termos legais e regulatórios. Da mesma forma, o conselho administrativo e o departamento de comunicação devem entender tanto os detalhes técnicos quanto as implicações legais para poderem tomar decisões informadas e comunicar eficazmente com as partes externas e internas. Esta comunicação clara e unificada é crucial para uma gestão de crise coesa e eficiente.
Como vimos acima, um suporte jurídico especializado desempenha um papel crucial na mitigação de riscos legais e na preparação da empresa contra litígios potenciais. Esses profissionais são fundamentais na elaboração de estratégias para minimizar danos após violações de dados, orientando sobre a severidade do incidente e a melhor maneira de comunicar ao público, aos parceiros comerciais, aos titulares dos dados potencialmente afetados e à ANPD. Tais estratégias são fundamentais para preservar a reputação da empresa e a manter a confiança do consumidor e do mercado.
A sociedade brasileira tem acompanhado na mídia inúmeros casos nos quais empresas enfrentaram grandes desafios devido à falta de preparação e resposta legal adequada, gerando severos danos reputacionais.
Por outro lado, organizações que contavam com um comitê de resposta a incidentes, treinado e estruturado, com bons profissionais de TI, de SI e suporte jurídico especializado, trabalhando de maneira focada e colaborativa, demonstraram melhor gestão de crise, menor vulnerabilidade a sanções legais e também uma maturidade que impacta positivamente na imagem da empresa.
Os ataques Cibernéticos são constantes e cada vez melhor elaborados, não se trata mais de pensar no quando, mas sim ter uma estrutura e um comitê de resposta maduro e preparado para lidar de forma proativa e eficaz, mitigado riscos, impactos, sanções e danos reputacionais.
A integração de competências jurídicas nas estratégias de cibersegurança não é apenas uma prática recomendada, mas uma necessidade crítica. À medida que o cenário de ameaças digitais evolui, também deve evoluir a colaboração entre técnicos e juristas, garantindo que todos os setores da empresa falem a mesma língua e atuem de forma sincronizada para enfrentar os desafios de forma eficaz.
As empresas devem promover ambientes em que a colaboração entre os departamentos jurídico, de TI e de SI se intensifique, levando à formação de equipes interdisciplinares capazes de responder com mais eficiência aos incidentes cibernéticos. A formação contínua e o desenvolvimento de habilidades específicas em direito cibernético são essenciais para a resiliência organizacional e para manter uma postura competitiva e segura no mercado atual.
Walter Calza Neto, DPO do Sport Club Corinthians Paulista.