Com a pandemia de Covid-19 e a necessária adequação digital que muitas empresas tiveram que fazer, algumas vulnerabilidades do período se tornaram oportunidades para ataques cibernéticos. Segundo o relatório “2021 Global Threat Intelligence Report” desenvolvido pela NTT, empresa que projeta e implementa soluções de segurança cibernética, 88% dos profissionais da área disseram que os riscos aumentaram nos últimos seis meses.

Além disso, alguns setores sofreram mais que outros. Foi o caso dos setores de saúde, finanças e manufatura que juntos responderam por 62% dos ataques em 2020, representando um aumento de 11% em relação ao ano de 2019. Além disso, ataques específicos a aplicativos e aplicativos da Web continuaram a aumentar e permaneceram como os principais ataques observados. Juntos resultam em um total combinado de 67% dos ataques, contra 55% em 2019 e 32% em 2018.

No entanto, o relatório também descreveu uma tendência global de implementar ainda mais leis nacionais de proteção de dados em todo o mundo, como foi o caso em Cingapura, Tailândia, Austrália e Japão. No Brasil, também não foi diferente com a Lei Geral de Proteção de Dados, a LGPD, que entrou em vigor em 2020.

Atento a este cenário e as tendências globais, o Blog IBGC conversou com Carla do Couto, advogada do escritório TozziniFreire e especialista em Cybersecurity & Data Privacy. Carla auxilia empresas em assuntos relacionados à tecnologia da informação e propriedade intelectual, com sólida experiência em análise e negociação de contratos relacionados a essas áreas.

Na conversa, ela explicou a relevância da área de segurança da informação, comentou sobre o movimento nas empresas a partir da LGPD e destacou que estar em conformidade com a lei vai muito além do que simplesmente pedir um consentimento do titular ou ter uma política de privacidade. A especialista ainda compartilhou qual a postura mais adequada para as empresas neste momento e no pós-pandemia. Veja a seguir, a entrevista na íntegra:

Carla do Couto: Cybersecurity e Data Privacy são termos que, apesar de terem relação entre si, são distintos. Cybersecurity está relacionada com a parte de segurança de todo o ambiente cibernético da empresa, abrangendo computadores, dispositivos móveis, redes, servidores, internet, e abrangendo também todas as informações, dados e documentos (independentemente da natureza) que estejam circulando nesse ambiente digital. Ou seja, não podemos dizer que Cybersecurity é uma área nova, considerando que o uso dessas tecnologias não é tão recente assim e que diversas empresas já se preocupam com questões de Cybersecurity há um certo tempo. Já quando falamos em Data Privacy, estamos nos referindo a uma área relacionada com a proteção de dados pessoais, e que diz respeito à privacidade dos dados que identificam indivíduos, independentemente desses dados estarem circulando em ambiente cibernético ou não. Ou seja, quando falamos, por exemplo, em um ataque hacker que resulta no vazamento de dados pessoais, teremos questões tanto de Cybersecurity quanto de Data Privacy, mas se o ataque não envolver nenhum dado pessoal e estiver relacionado somente com informações financeiras da empresa, por exemplo, não necessariamente teremos implicações na área de Data Privacy. Nesse mesmo sentido, se tivermos uma questão relacionada com fichas cadastrais de empregados de uma empresa que estejam armazenadas em um arquivo físico e que são roubadas, não estaremos falando em Cybersecurity, mas somente em Data Privacy. Podemos dizer que, no Brasil, Data Privacy é uma área relativamente mais nova, pois até a promulgação da Lei Geral de Proteção de Dados (LGPD) não havia uma lei específica tratando da proteção de dados pessoais, apesar de que o tema já era regulado de forma mais esparsa em algumas leis distintas. Mesmo antes da LGPD, já tínhamos empresas no Brasil, principalmente aquelas que lidavam diretamente com dados pessoais de consumidores finais, preocupadas com questões de Data Privacy.

A grande mudança que podemos citar é a própria LGPD, que veio para regular de forma mais específica e detalhada o tratamento de dados pessoais no Brasil. O fato de a LGPD estar em vigor desde setembro de 2020 tem feito com que as empresas precisem implementar diversas medidas para se adequar, sendo que muitas empresas sequer tinham conhecimentos básicos sobre proteção de dados pessoais. Nesse sentido, a mudança não é somente em relação às práticas para adequação à lei, mas também é importante a mudança da cultura em geral, para que a preocupação com a privacidade e a proteção dos dados dos indivíduos passe a fazer parte do dia-a-dia das empresas. Já em relação a Cybersecurity, podemos dizer que durante a pandemia o número de ataques cibernéticos e incidentes de segurança aumentou significativamente, o que, consequentemente, acabou aumentando também a preocupação das empresas em relação a segurança e tecnologia da informação.

A LGPD traz algumas obrigações que estão bastante relacionadas com o conhecimento e entendimento da empresa sobre seus próprios processos. O fato de a LGPD, por exemplo, trazer a obrigação de manutenção de registro das atividades de tratamento de dados pessoais, faz com que as empresas tenham que mapear e entender seus processos, identificando assim possíveis riscos em relação a essas operações. Além disso, a LGPD traz princípios e obrigações relacionados com segurança, prevenção, responsabilização e prestação de contas que, se implementados da maneira correta pelas empresas, podem exercer um papel fundamental em relação à gestão de riscos.

De fato, a partir de 1 de agosto as penalidades previstas na LGPD entram em vigor, mas a aplicação dessas penalidades dependerá de procedimento administrativo que ainda precisa ser regulamentado pela Autoridade Nacional de Proteção de Dados, a ANPD. De qualquer forma, é importante ressaltar que, apesar de as penalidades só entrarem em vigor em 1 de agosto de 2021, a LGPD já está em vigor desde setembro de 2020, e os indivíduos titulares de dados já podem exercer seus direitos, assim como já é possível (e temos visto) o ajuizamento de ações relacionadas com o descumprimento da LGPD. É possível ver que as empresas já estão mais preocupadas em entender as suas atividades de tratamento de dados pessoais, e também estão buscando formalizar documentos indicando o que é feito com dados pessoais, como políticas e avisos de privacidade, de forma a aumentar a transparência em relação a essas operações. Entretanto, ainda há um longo caminho pela frente, pois estar em conformidade com a LGPD é muito mais do que simplesmente pedir um consentimento do titular ou ter uma política de privacidade. É necessário, de fato, atuar de acordo com os princípios e determinações da lei, garantindo que os dados sejam tratados de acordo com finalidades legítimas, evitando o compartilhamento de dados desnecessários ou em excesso, garantindo que os dados serão mantidos em segurança, e também fazendo valer os direitos dos titulares.

Quais são as boas práticas de governança que os conselhos devem adotar para acelerar as adequações à LGPD e garantir transparência e segurança aos acionistas e demais stakeholders?

Os conselhos têm um papel muito importante nessa jornada de adequação à LGPD, pois eles podem incentivar e promover a disseminação da cultura e de boas práticas em relação à proteção de dados. É importante, portanto, que os conselhos enxerguem esse assunto de proteção de dados como algo relevante, e entendam que a adequação não diz respeito a somente um setor da empresa, mas que ela tem relação com a empresa como um todo. Sendo assim, a criação de comitês com integrantes de diversas áreas da empresa (como RH, Marketing, Financeiro, Jurídico e TI) é altamente recomendada, assim como a definição de políticas de governança que estabeleçam de forma clara as responsabilidades de cada setor e de seus gestores. A conscientização também é fundamental, então é importante não só investir em políticas e processos bem estruturados, mas também em treinamentos para que os colaboradores da empresa saibam, na prática, como implementar essas políticas e como agir em relação a questões de tratamento de dados pessoais. Como o Brasil ainda não tem uma cultura consolidada de proteção de dados, e considerando que a LGPD é uma lei nova, investir na educação e conscientização de todos os colaboradores é fundamental para acelerar esse processo de adequação.

Quando falamos em segurança cibernética, um ponto muito importante é não se acomodar achando que o incidente ou ataque nunca irá acontecer com você. As tecnologias cada vez mais evoluem, assim como a sofisticação dos hackers também, por isso é fundamental uma preocupação constante com o tema, com investimentos em medidas que possam efetivamente promover a segurança e prevenir incidentes. Mas essas medidas requerem uma atualização constante, então é uma área que requer uma atenção contínua. Da mesma forma, reiterando a importância da conscientização e dos treinamentos, os colaboradores precisam ser muito bem educados e informados em relação aos cuidados com a segurança cibernética. A gestão dos terceiros contratados também é importante, pois em muitos casos de incidentes o problema pode estar com um terceiro fornecedor ou prestador de serviço que teve acesso à rede ou ao ambiente digital da empresa.

Recentemente, o IBGC promoveu um debate sobre o tema da segurança cibernética para os conselheiros de administração e executivo. Acesse clicando aqui.