home / artigos

A IMPORTÂNCIA DA ADEQUAÇÃO ÀS NORMAS DE CYBER SEGURANÇA EM TEMPOS DE ADVERSIDADE PARA AFASTAR RISCOS E EVITAR PREJUÍZOS

por Murilo Gomes

Em tempos de Covid-19 e consequente confinamento de pessoas para fins de prevenção da propagação do vírus, a utilização do ambiente virtual e da rede mundial de computadores foi potencializada ao extremo, viabilizando o desenvolvimento da execução de muitos trabalhos, através de home office, realizações de reuniões remotas e gestão de atividades e de produtividade por meio de ferramentas on-line.

Neste momento de adversidade, onde a preocupação se volta além das questões de saúde e economia, para também a continuidade do desenvolvimento das atividades laborais, deixa-se de lados muitas vezes a preocupação com a cyber segurança. Ante tal cenário, o trafego, armazenamento e tratamento dos dados, pela situação que se impõe, passa a ser muito mais dinâmico, veloz e indiscriminado do que o habitual, criando algumas brechas de acesso que desemboca em maior vulnerabilidade dos usuários no que tange a cyber crimes, que podem trazer riscos e gerar prejuízos estratosféricos.

Além do risco de fraude na realização de operações financeiras, a cyber segurança envolve também um dos mais valiosos comodities do mundo atual, os dados digitais. Informações sobre dados pessoais, perfis de produtos e clientes, estratégias de mercado, fluxos de operações, propriedade intelectual e outros, é um atrativo para os criminosos que ganham verdadeiras fortunas comercializados informações obtidas de maneira ilícita, e podem, mesmo em momento de tamanha consternação, aproveitar desta situação, onde o foco principal encontra-se apontado para outras questões, para executar as suas atividades criminosas.

No ano de 2018 fora sancionado pelo Presidente à época, Michel Temer, o Decreto que criou a Política Nacional de Segurança da informação, resultando na aprovação do Decreto nº. 10.222/20, que instituiu a Estratégia Nacional da Segurança Cibernética, conhecida como E-Ciber, revelando a importância deste tema. Contudo, as aplicações de políticas públicas neste sentido ainda não atendem as demandas ordinárias, nem em tempos extraordinários, como o que vivemos nesta pandemia.

Nesta senda, também foi editada a Lei 13.709/18 – Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020, qual dispõe sobre a proteção de dados pessoais, e em seu artigo 42, trata sobre a responsabilidade civil do Controlador ou Operador no tocante a danos patrimoniais, morais, individuais ou coletivos, oriundos da utilização dos dados pessoais.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: » I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; » II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Conceitualmente falando, a cyber segurança compreende o expediente metodológico da proteção de softwares, hardwares, infraestruturas de redes e sistemas contra ameaças e ataques cibernéticos. Logo, todos os expedientes que a envolve, inobstante possam ter finalidades diversas, têm importância diametral.

Questiona-se: Para momento de tamanha adversidade, o que fazer?

A própria LGPD – Lei Geral de Proteção de Dados destaca a importância da elaboração, pelos Controladores, de uma política de proteção de dados e segurança da informação, que é um vetor importantíssimo da cyber segurança.

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

» I - implementar programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

» II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. § 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

A utilização de antivírus, criptografias, assinaturas digitais e outras ferramentas minimizam o risco diante de tal vulnerabilidade. Entretanto, não basta. Em se tratando principalmente das corporações, é necessário que, para evitar prejuízos oriundos deste tipo de crime, bem como da responsabilização civil pelos dados pessoais roubados, imponha-se uma série de medidas, sendo a adequação às normais legais uma delas. Ideal que se desenvolva materiais orientativos com dicas quanto aos gatilhos usados pelo cyber criminosos, expondo os perigos, para divulgação entre os colaboradores e usuários, além do desenvolvimento de fluxos, procedimentos e da própria Política de Segurança de Dados, caso não haja. O treinamento em ambiente virtual também é uma ótima ferramenta.

Fundamental que este tipo de assunto seja disseminado também pela alta gestão, mostrando a importância do tema, devendo estas pessoas assumirem a figura de líder pelo exemplo, ratificando as orientações e mensagens neste sentido.

A governança de TI somada a um assessoramento jurídico especializado em compliance digital proporciona as empresas a mensuração e prevenção do risco, evitando além das imposições e sanções legais, que estas sofram ainda mais em momento de vulnerabilidade provocada por situações adversas incontroláveis.

Importante então, para as empresas que possuam colaboradores ou empreendedores que neste momento figurem na condição exponencial de desenvolvimento do seu ofício através de ambiente virtual, que estes estejam amparados por um assessoramento técnico e jurídico eficaz no desenvolvimento, acompanhamento e manutenção destas medidas, além de estarem atentos ao cumprimento dos procedimentos de segurança e vigilantes a possibilidade de golpes aplicados por cyber criminosos, buscando utilizar apenas ferramentas desenvolvidas por empresas com reconhecimento e referência no mercado, não acessarem links desconhecidos enviados por e-mails, conhecidos por phishing, conferirem atentamente as URLs acessadas, não abrindo arquivos desconhecidos, utilizando senhas com maior complexidade e neste momento promovendo a alteração destas ao menos semanalmente e certificando sempre a fonte do acesso eventualmente disponibilizado. Logo, é necessário estarmos vigilantes e adotarmos meditas eficazes para afastar tais risco e evitar prejuízos e responsabilizações nas esferas administrativas e judiciais.

Salvador - BA

Av. Tancredo Neves, 620, 34º andar, Mundo Plaza, Caminho das Árvores

(71) 3022.5108 / 3013.7997

salvador@mosellolima.com.br

Porto seguro - BA

Av. Beira Mar, 4, Orla Norte KM 01

(73) 3288.2985

portoseguro@mosellolima.com.br

Teixeira de freitas - BA

Av. Brasil, 113, sala 113A e 113B, Novo Horizonte

(73) 3291.2547

teixeiradefreitas@mosellolima.com.br

Telêmaco borba - PR

Av. Delfim Moreira, 520, Alto das Oliveiras

(42) 3272.8801

telemacoborba@mosellolima.com.br

Eunápolis - BA

Av. Antúrios, 218, Jardins de Eunápolis

(73) 3281.3609

eunapolis@mosellolima.com.br

Mucugê - BA

Rua Direita do Comércio, 256, Centro

(75) 3338.2230

mucuge@mosellolima.com.br

Vitória - ES

Rua José Alexandre Buaiz, sala 901, Edf. Affinity Work, Enseada do Suá

(27) 3029.3609

vitoria@mosellolima.com.br

Bauru - SP

Rua Araújo Leite, 32-22, Jardim Aeroporto, 17012432

(14) 3243.8321

bauru@mosellolima.com.br