por Monica Bressan
As companhias carregam dados valiosos internos e de terceiros, que incluem informações das suas operações, de seus colaboradores, fornecedores e de clientes, ficando cada vez mais expostas a riscos cibernéticos. Qualquer deslize pode impactar sua operação, seu resultado financeiro e, sobretudo, sua reputação.
Sendo, então, a informação um ativo tão importante dentro das empresas, ela precisa ser protegida.
E o vazamento ou o mau uso de dados não compromete apenas as grandes empresas, mas as pequenas e médias, inclusive, as familiares, que podem ter prejuízos muito maiores e comprometer a continuidade do próprio negócio.
Acontece que esses dados estão cada dia mais expostos a problemas de vazamento ou roubo devido aos avanços da tecnologia. Muitas vezes a maneira como eles são armazenados permitem brechas a hackers, além do mau uso de dispositivos como tablets, celulares e notebooks e das próprias redes sociais, que tornam os sistemas vulneráveis a ataques. Além disso, o trabalho remoto (fora da empresa) também é um fator de risco, pois abre muitas portas de acesso a informações importantes.
Outros problemas que podem ser enfrentados pelas empresas estão relacionados ao acesso não autorizado de funcionários aos dados ou a falta de firewall eficiente, permitindo a ocorrência de ransomware (sequestro de dados com objetivo de negociar resgates por meio de criptomoedas). As empresas estão sujeitas também à ocorrência relacionadas ao armazenamento das informações, como, por exemplo, se o banco de dados não tiver um bom espelhamento e backup, a empresa poderá ter problemas de perda de dados e comprometer um cliente ou funcionário, além dos dados do próprio negócio.
O compliance voltado para a segurança da informação e proteção de dados contempla a adoção de procedimentos com o objetivo de minimizar a ocorrência de todos esses riscos, como a adoção de políticas de segurança da informação e protocolos específicos para funcionários, fornecedores e clientes acessarem os dados. Envolve também, e principalmente, a realização de treinamentos aplicados aos colaboradores para instruí-los a não deixar a empresa vulnerável a riscos cibernéticos, além de um plano de resposta a incidentes e o investimento na manutenção de um ambiente de tecnologia atualizado incluindo antivírus, firewall, espelhamento e/ou backup isolado do sistema em uso.
Nesse contexto, além da adoção de medidas gerais de conformidade acima exemplificadas, é muito importante para as companhias adotarem um Programa de Governança em Privacidade de Dados, para manterem seus dados protegidos e se resguardarem perante a Lei Geral de Proteção de Dados (LGPD).
Esse Programa de Governança em Privacidade de Dados, pode ser implementado observando-se dez etapas:
1 – nomear um encarregado designado pela empresa que será responsável de introduzir um sistema de compliance e fazer intermediação entre empresa titular de dados;
2- criar um canal de atendimento ao titular de dados, por meio do qual o titular dos dados pessoais possa obter informações sobre o tratamento e exercer seus direitos legais;
3 – elaborar o mapeamento do fluxo de dados pessoais e de seu ciclo de vida, ou seja, a identificação dos momentos de coleta, retenção, processamento, compartilhamento e eliminação;
4 – caso encontre riscos, elaborar o relatório de impacto que avaliará os riscos associados ao tratamento (com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais e as medidas, salvaguardas e mecanismos de mitigação de risco);
5 – realizar os ajustes de conformidade por meio da adoção de medidas para mitigação de riscos associados ao tratamento dos dados pessoais;
6 – adotar medidas de segurança da informação para evitar acessos não autorizados ou qualquer forma de tratamento inadequado ou ilícito, garantindo confidencialidade, integridade e disponibilidade dos dados apenas quando e a quem de direito. E mostrar que está fazendo isso;
7- elaborar um plano de resposta a incidentes com o estabelecimento de procedimentos para resposta a incidentes de segurança da informação envolvendo dados pessoais;
8 – elaborar e divulgar a política de privacidade com informações claras e atualizadas sobre a previsão legal, a finalidade e os procedimentos utilizados para a execução das operações de tratamento para deixar o cliente seguro em relação a isso;
9- realizar os ajustes contratuais pertinentes em relação aos contratos celebrados com colaboradores e com terceirizados que atuem como operadores (que realizam o tratamento de dados pessoais em nome do controlador) isso inclui que empresas contratadas e que dispõem de muitos dados da empresa, como contabilidade, por exemplo, garantia de que ela também cumpra as normas da LGPD;
10 – realizar a capacitação da equipe acerca das diretrizes da LGPD e da Política de Privacidade adotada.
A LGPD não estabelece um prazo para a implantação do Programa de Governança em Privacidade de Dados, porém, se a empresa tiver efetivamente implantado esse Programa e venha a ocorrer algum incidente, os valores das multas que poderão ser aplicadas por perda ou vazamento de dados pessoais, por exemplo, serão consideravelmente menores, além da reputação não ser tão abalada devido à empresa já estar comprometida com a proteção de dados.
Diante de tudo o que foi abordado, é imprescindível que as empresas se protejam de eventuais incidentes cibernéticos. Pode fazer toda a diferença na garantia de segurança, redução de custos e na manutenção da credibilidade das empresas no mercado, especialmente os pequenos e médios negócios.
*Monica Bressan é especialista em governança corporativa, compliance, ISO 37001, ISO 31000, contratos e finanças.
Profissional com perfil estratégico, com mais 20 anos de atuação em escritórios de advocacia, empresas e como professora em cursos de graduação e pós-graduação, formada em Direito e Administração de Empresas, com Especialização em Direito Tributário e Mestrado em Administração de Empresas com foco em Finanças Estratégicas. Possui certificação internacional ISO 31000 Lead Risk Manager (Gestão de Riscos) e ISO 37001 Provisional Auditor (Antissuborno). Ótima experiência com: mapeamento, implantação e acompanhamento de controles internos para todas as áreas da empresa; apoio jurídico-legal para a tomada de decisões; gerenciamento de projetos, com capacidade de atuar em equipe de forma colaborativa; realização de treinamentos focados nas necessidades da organização e disseminação de cultura de melhores práticas.