O que as empresas podem aprender com o megavazamento de dados

Nunca foi tão urgente pensar sobre o Dia Internacional da Internet Segura. Não exatamente para festejar, mas para encarar o fato de que a segurança de dados ainda é frágil — seja para pessoas físicas ou jurídicas.

O recente vazamento de dados de 223 milhões de brasileiros acendeu uma luz amarela para essa questão, agravada com a vigência da Lei Geral de Proteção de Dados (LGPD), que prevê multas pesadas para empresas cujas práticas não estão de acordo com as regras.

Desde o início da pandemia, o uso da internet aumentou muito. Segundo a Agência Nacional de Telecomunicações (Anatel), esse aumento foi entre 40% e 50% e a alta foi ainda maior para servidores internacionais. Na prática, significa que os dados das empresas e das pessoas não só passaram a circular mais, como ficaram mais expostos a golpes e vazamento.

Para o advogado Márcio Melo Chaves, especialista em compliance e LGPD, sócio responsável pela área de direito digital do escritório Almeida Advogados, um acontecimento como o megavazamento de dados pode trazer vários prejuízos para as empresas:

• Judicialização, principalmente em ações propostas por consumidores e empregados, conforme for o titular do dado vazado, por conta da violação à privacidade e reparação de dados causados (indenização), morais e patrimoniais, em casos de fraudes praticadas com esses dados;
• Penalidades administrativas, as multas que já estão previstas em diversas legislações vigentes e que já podem ser aplicadas como o Marco Civil da Internet, o Código de Defesa do Consumidor (CDC) e, a partir de agosto deste ano (2021), a LGPD;
• Reputacionais, com reflexos nos contratos que deixarão de ser fechados ou renovados, devido à falta de confiança e ao risco de responsabilização solidária — que pode acontecer e, inclusive, está prevista na legislação, em especial de defesa do consumidor (CDC) e da proteção à privacidade (LGPD).

Prejuízos para o consumidor

“Durante muitos anos o CPF, que é um número de identificação criado para fins de recolhimento de tributo, como o pagamento de impostos, por exemplo, era utilizado como fator de identificação, isto é, de provar que eu sou eu. Era possível abrir contas em lojas, cadastrar linhas telefônicas pré-pagas, dentre outros. Por isso, ainda existe esse medo coletivo de outros saberem seu CPF. Mas isso mudou, pois a coisa mais fácil hoje em dia é saber o CPF de alguém. Qualquer busca no Google traz como resultado”, afirma o advogado.

Mas as empresas ainda se valem de informações para confirmar que uma pessoa é ela mesma, abrindo espaço para muita fraude envolvendo falsa identidade, quando alguém se passa por outra pessoa para obter vantagem.

“Outra coisa é a utilização das informações para praticar chantagens, que é o crime de ameaça, em que uma pessoa pode procurar obter alguma vantagem e divulgar determinada informação que possa ser usada inclusive para fins discriminatórios, ou da simples exposição da intimidade, que é uma clara violação da privacidade”, acrescenta Chaves.

Os golpes não param por aí. Um criminoso pode se passar por outra pessoa e sacar o FGTS ou outro benefício. Com os dados pessoais, ele pode enviar fatura falsas para a vítima com os dados vazados — conta telefônica, internet ou mesmo de impostos como o IPTU ou o IPVA. Ou, ainda, enviar mensagens se passando por bancos.

Como coibir o vazamento de dados

Independentemente de ter sido alvo de algum ataque, é preciso mudar a mentalidade reativa e garantir uma estrutura de segurança, governança e cultura da proteção de dados. Nas palavras do especialista, significa mudar a posturas de ‘quem é que vai querer me invadir, com tanta empresa mais visada’ ou ‘quem não deve não teme’.

“Os incidentes já aconteceram e acontecem diariamente, envolvendo desde situações triviais como enviar um e-mail com a pessoa errada em cópia (colocando sem querer no “CC” o e-mail de alguém com o nome igual ou parecido), até algo mal-intencionado como ser vítima de um ransomware (sequestro de dados pela codificação do computador até pagamento do resgate) ou ataques direcionados por criminosos e até mesmo concorrentes, colaboradores e ex-colaboradores insatisfeitos como na exploração das zero-day flaws (falhas de segurança ainda desconhecidas)”, diz o advogado.

Seguir a LGPD é a melhor forma de proteção

A LGPD exige que a empresa tenha um programa de proteção de dados e da privacidade devidamente implementado, o que significa não apenas investir, mas principalmente provar que está investindo, necessariamente em três grandes pilares:

• Segurança, desde a física como cadeados e chaves em arquivos, mas principalmente digital, que inclui o uso de criptografia e ferramentas de controle de acesso, gestão de identidade e detecção e impedimento de vazamento de dados;

• Governança, com o estabelecimento de documentos internos, tais como normas de resposta a incidentes, registro de usos de dados pessoais, análises de riscos de violação à privacidade, e externas como políticas de privacidade e contratos com parceiros e fornecedores que têm contato com os dados;

• Cultura, com a devida capacitação de todos os colaboradores para a proteção de dados.

Um investimento que, de acordo com Chaves, exige tempo e dinheiro, mas encontra espaço em todos os orçamentos. Permite a única forma de afastar, ou pelo menos mitigar, a responsabilização pelo incidente que está no controle das empresas, demonstrando que seguiu tudo o que a lei exige.

“Estejam preparados e exijam o mesmo de seus fornecedores e parceiros. Isso vale desde o simples backup, já que a perda de dados pessoais também é uma violação à LGPD; passa por toda a documentação exigida pela legislação provando o que foi e está sendo feito para proteger a privacidade — algo que exige o envolvimento de todos, do C-level ao chão de fábrica.”