Esses temas não são novos, nem tampouco o forte relacionamento entre eles. Apesar disso, ainda não parece claro para as organizações que a adequação à Lei Geral de Proteção de Dados – LGPD – é mais do que um conjunto de políticas e normativas oriundas da interpretação da lei.
É claro que quando se fala em LGPD, o foco é a proteção de dados pessoais e o direito à privacidade do cidadão, que contempla parte dos dados tratados pelas organizações, a qual poderá impactar mais ou menos cada organização, conforme seus modelos de negócios e a dependência deles das informações pessoais tratadas. Entretanto, pouca gente menciona o capítulo VII da lei em seus artigos 46º, 47º, 48º e 49º, que tratam especificamente das medidas de segurança, garantia da segurança da informação, comunicação de incidentes de segurança que possam acarretar risco aos titulares e segurança e governança em sistemas de informação que suportam o tratamento de dados pessoais. Isso quer dizer que as organizações, em seus processos de adequação à LGPD, precisarão tratar de forma rigorosa os requisitos de segurança da informação, assim como dimensionar e mitigar seus riscos.
Por outro lado, tenho insistido que a fraude no Brasil é endêmica e tem atingido o cidadão comum o tempo todo com golpes os quais majoritariamente são baseados no roubo de identidade e dados pessoais. Nesse tema, existe uma preocupação enorme em proteção das empresas contra fraudes, mas sempre no sentido de bloquear o fraudador. Investe-se volumosas cifras em tecnologias antifraude – usando biometria facial e inteligência artificial – para evitar que um fraudador consiga realizar o golpe. Evidentemente que são providências válidas e necessárias, mas a causa raiz da fraude, a violação dos dados pessoais, que inclui o roubo de documentos digitalizados e da própria biometria e documentos usados na identificação, permanece subestimada na maior parte das empresas. Entendo que as fraudes que tantos danos causam às pessoas e prejuízos às próprias empresas são oriundas do não cumprimento de requisitos importantes da LGPD e poderão, sim, motivar sanções contra as organizações que não demonstram proteger os dados dos titulares por ela controlados de forma adequada.
Os episódios de Ransomware (expressão oriunda da palavra Ransom, que significa resgate, no caso dos dados sequestrados das organizações) têm sido cada vez mais frequentes e populares no país. Em geral, é o coroamento de uma série de outros ataques realizados antes que as organizações percebam. O mais recente ocorreu semana passada, com uma gigante do varejo nacional. Quando ocorre, por conta da indisponibilidade dos dados e sistemas, o negócio fica imediatamente comprometido. Muitas vezes, as organizações correm para pagar o resgate para evitar a paralisação dos negócios pelo menor período. Mas, se esquecem de que não se trata apenas de uma indisponibilidade de dados temporária. Dependendo das medidas de proteção ou da falta delas, os sequestradores irão muito além disso. Poderá haver violação dos dados pessoais em grande escala, com dados importantes, inclusive de identidade, que serão vendidos por aí e provocarão as temidas fraudes. O resgate pago não cobre isso. Imaginem que dados pessoais de milhares de clientes poderão estar armazenados nos bancos de dados da gigante do varejo e poderão ser roubados e usados por aí.
Na ocorrência, também se vê as organizações correndo para comunicar acionistas e investidores. Mas não os possíveis titulares afetados. É requisito da LGPD comunicar os incidentes de violação. O Ransomware pode ou não acarretar um incidente de violação, dependendo das medidas de proteção tomadas. Creio que é de bom tom que se comunique também quais os riscos que estes milhares de clientes poderão estar ou não correndo. Se não tem possibilidade de violação melhor, mas se tem?
Enganam-se aqueles que acreditam que Ransomware, fraude, privacidade, proteção de dados são temas desconexos. Ao contrário, fazem parte de um círculo pernicioso e perverso que vitimam sociedade e mercados. A LGPD é um antídoto importante e adequar-se é um investimento. Não só para mitigar riscos com a paralisação temporária das operações por um ataque, mas de garantir a continuidade dos negócios, evitar sanções financeiras e danos reputacionais, respeitar o seu ecossistema de negócios e fortalecer sua marca.
O que você está esperando para iniciar essa jornada?
Enio Klein, influenciados e especialista em vendas, experiência do cliente e ambientes colaborativos com foco na melhoria do desempenho das empresas a partir do trabalho em equipe e colaboração. CEo da Doxa Advisers e professor de Pós-Graduação.
[…] O que relaciona Ransomware, fraude, privacidade, proteção de dados pessoais e a LGPD? […]