Minha empresa sofreu um vazamento de dados! E agora?
Pois é: o vazamento de dados é uma realidade. As empresas brasileiras já estão investindo em soluções e adequações à nova Lei Geral de Proteção de Dados, criando Documentos, Políticas de Segurança, Termos de Uso e Condições, Segregações Internas e Campanhas de Conscientização para colaboradores. Mas, mesmo assim, a empresa pode ser surpreendida por um vazamento de dados (RG, CPF, Nomes, E-mails, Dados Bancários, Informações Sensíveis) de clientes cadastrados e/ou funcionários. Como proceder nessa situação?
Antes de mais nada, é essencial ressaltar que, infelizmente, esse tipo de coisa acontece e cada vez mais as empresas estão expostas a esse risco. Segurança é um processo contínuo e de manutenção diária, e é dessa consciência rotineira que surge a importância de investir não apenas em prevenção, documentação e tecnologia, mas em uma estratégia de mitigação de riscos para o caso de um incidente de vazamento.
Existem algumas formas de atenuar ao máximo esses efeitos – sendo que, claro, tudo depende da agilidade, da organização e da transparência da empresa afetada.
Primeiro: Pense rápido!
Uma pesquisa global realizada em 2018 pela IBM em parceria com o Ponemon Instituti comprovou que as empresas demoram em média 197 dias para identificar um incidente cibernético e mais 69 dias para conseguir conter os seus danos, o que torna evidente que quanto mais tempo um vazamento de dados permanece ‘ativo’ maior os danos à empresa e aos seus clientes e/ou funcionários.
Tal fato comprova a necessidade de a empresa estar preparada para possíveis incidentes, com uma equipe multidisciplinar envolvendo departamento de TI, jurídico, Compliance e demais profissionais ligados à proteção de dados.
Segundo: Transparência é tudo!
É natural que empresas – principalmente as de grande porte – tenham receio de comunicar ao seu público sobre um eventual vazamento de dados. Porém, manter segredo pode trazer ainda mais insegurança aos clientes e ao público em geral.
Por isso, é essencial a emissão de uma nota pública de esclarecimentos, demonstrando uma postura de apoio, atendimento e transparência.
Terceiro: Mitigação de riscos, entendimento e melhorias
Após identificar o vazamento e comunicá-lo devidamente aos envolvidos, é hora de desenvolver um plano de ação estratégico.
Esse plano deverá estar previamente pronto para que, caso ocorra o vazamento de dados, possam ser iniciadas investigações de como ocorreu e em qual local se deu a origem do vazamento, imediata remoção de conteúdos, segregação de funções e acessos, e o mais importante: entender o motivo que resultou no incidente.
É recomendada a realização de varreduras em todas as camadas de tratamento de dados da empresa, identificando eventuais transações sensíveis, bem como uma análise detalhada de logs, aplicações de técnicas jurídicas para analisar o risco.
E para evitar novos vazamentos é de suma importância conscientizar e treinar todos os colaboradores e prestadores de serviço para que a informação do cliente seja protegida dentro da operação diária da empresa.
O escritório Gaiofato e Galvão Advogados Associados conta com um Comitê especializado em Lei Geral de Proteção de Dados, que prima pelo apoio em mitigação de riscos, estratégias de preparo jurídico a empresas e implementação de Políticas de Proteção de Dados.
Autoria: Monique Bertelli, advogada, Graduada pelas Faculdades Metropolitanas Unidas – FMU, Master in Business Administration em Gestão Jurídico Empresarial pela Universidade de São Paulo – USP, Membro do Comitê Interno de LGPD, Membro da Associação Nacional dos Profissionais de Proteção de Dados.
