Nabarro & Pfeferman Advogados

Vazamento de dados pessoais: estratégias institucionais de prevenção e reação

24 de junho de 2022

Por João Terra Diego Nabarro

Listado entre os grandes atores no mercado de economia compartilhada e marketplaces, o Mercado Livre informou recentemente que foi vítima de um ataque de hackers em seu código-fonte[1].

Apesar de, segundo a empresa, informações de pagamento e senhas não terem sido acessadas pelos invasores, dados de 300 mil usuários foram acessados de maneira irregular – situação que traz grande preocupação não só à companhia, mas também aos titulares de 140 milhões de contas dentro da plataforma.

Em uma realidade em que serviços e produtos são cada vez mais disponibilizados e comercializados em ambientes virtuais, é natural que o compartilhamento de dados entre clientes e empresas ocorra em grandes volumes; sobretudo após a eclosão da pandemia do Covid-19 e meses de restrições e isolamento social.

Neste cenário, o intenso tráfego de dados gerado é merecedor de atenção especial de todos os atores envolvidos. Incidentes como o narrado e o consequente vazamento de dados tem o potencial de gerar danos às companhias afetadas, tais como:

  • danos reputacionais à marca;
  • queda de confiabilidade dos usuários com relação aos processos internos de segurança e compliance – o que afeta a decisão do consumidor em usar ou não a plataforma; e
  • danos financeiros decorrentes de perdas de usuários ativos e de eventuais penalidades determinadas por autoridades públicas[2].

Para que as empresas possam se proteger e minimizar os impactos de um evento de quebra de segurança, listamos abaixo algumas estratégias institucionais que podem ser empregadas para a prevenção e a rápida resposta face a um incidente de segurança cibernética[3].

Contratação de seguro cibernético. A contratação de uma apólice de seguro com cobertura para os riscos cibernéticos e incidentes envolvendo dados pessoais já é uma realidade no Brasil. Empresas do ramo têm se especializado e atuam como importante fator estratégico para a mitigação de riscos, seja de ordem reputacional, financeira ou de responsabilização de executivos sobre os eventos e perante terceiros.

Eleição de DPO/Encarregado(a) de Dados. Observada a obrigatoriedade trazida pela LGPD, é importante que as empresas apontem um responsável pelo tratamento de dados pessoais que possua expertise e conhecimento para tal função, bem como que trabalhe de forma integrada com os times de segurança.

Estruturação de equipes e sistemas avançados. A companhia que opera dados pessoais, em qualquer medida ou volume, deve destinar recursos para: (i) a construção de um time capacitado para a atuação preventiva e reativa a incidentes de quebra de segurança e vazamento de dados, e (ii) a aquisição e manutenção de sistemas físicos e lógicos modernos, que ofereçam segurança aos ativos virtuais recebidos pela empresa. Além disso, o trabalho multidisciplinar é relevante, com a participação ativa do time jurídico, para avaliar as práticas da empresa conforme a legislação aplicável.

Políticas internas e diligências. É especialmente importante a elaboração de políticas internas que sejam aplicáveis aos diferentes departamentos da companhia. Tais políticas têm como objetivo identificar os potenciais riscos no tratamento de dados e nos protocolos de segurança e estabelecer as condutas devidas para mitigá-los e para corrigir erros. Adicionalmente, é recomendável que a companhia realize diligências para avaliar (i) as práticas internas realizadas, e (ii) o processo de contratação de seus parceiros externos, exigindo e fiscalizando o cumprimento da legislação e das práticas em relação à segurança das informações e dados pessoais recebidos e compartilhados.

Com a implementação das medidas aqui listadas, reduz-se a exposição a riscos reputacionais e financeiros, permitindo maior longevidade e sucesso da companhia.

[1] Conforme comunicado do Mercado Livre, disponível em: <https://www.ecommercebrasil.com.br/noticias/mercado-livre-invasao-dados/>. Acesso em mar/22.

[2] A legislação brasileira, por atuação da ANPD e dos dispositivos da LGPD, prevê a aplicação de advertência, multa pecuniária de até 2% do faturamento da empresa, até o limite de R$ 50 milhões por infração, entre outros, podendo chegar em proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

[3] Vale destacar que, para a aplicação de sanções nos casos de infrações cometidas em desacordo com as disposições da LGPD, serão analisadas, entre outras condutas, a boa-fé do infrator, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas e outras (art. 52, §1º da LGPD).

O que procura?

1
Olá 👋 como posso ajudar?