Publicado em

Os primeiros casos de vazamento de dados pessoais após a sanção da Lei Geral de Proteção de Dados (LGPD) evidenciaram a incerteza em torno da postura que empresas vítimas de ataques devem assumir na situação. Sem a definição clara de uma autoridade centralizada para o tema, o desafio se torna ainda maior.

Na última sexta-feira (31), a varejista C&A do Brasil admitiu “um movimento de ciberataque ao seu sistema de vale-presente/trocas” que acarretou o vazamento de dados pessoais de clientes. Procurada, a empresa não forneceu mais detalhes sobre a abrangência do incidente.

Ontem (03), a Boa Vista SCPC foi envolvida em caso semelhante após divulgação de suposto vazamento de informações contidas no banco de dados do birô de crédito – que condensa informações de milhões de brasileiros. Até o fechamento desta edição a Boa Vista SCPC estava “diligenciando para apurar a origem e extensão do possível incidente” de segurança.

Em ambos os casos, denúncias anônimas encaminhadas a veículos de mídia trouxeram os incidentes à tona. Líder do programa de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Rafael Zanatta observa que tal cenário deve mudar assim que o prazo de adaptação a LGPD (sancionada em 14 de agosto) se encerrar, em fevereiro de 2020.

“Com a nova legislação, quem sofreu ataques aos sistemas que podem comprometer dados pessoais tem que proceder de acordo com um protocolo. Não haverá a possibilidade da empresa ficar sabendo [do vazamento] internamente e não ‘publicizar’ o problema”, afirmou o especialista. “Será necessária explicação de quais os dados afetados, de como se tomou conhecimento, de quais medidas foram tomadas e da perspectiva de mitigação de riscos”, prosseguiu Zanatta, lembrando que as medidas devem ser tomadas dentro de período de tempo “razoável”.

Definições de prazos e multas, contudo, ficarão a cargo da autoridade nacional de dados – cuja criação imediata foi vetada pelo presidente Michel Temer durante a sanção da LGPD. A decisão foi tomada por uma “formalidade jurídica”, conforme palavras do sócio da Costa Marfori Advogados, Ricardo Marfori. “Ele entendeu que a autoridade não poderia ser criada via ato legislativo”, elucidou.

Ao DCI, Marfori observou que esse “buraco” precisará ser preenchido até a entrada em vigor da lei (a criação da autoridade de dados via medida provisória ou projeto de lei são possibilidades). Enquanto isso, as empresas terão de lidar com “fiscalização pulverizada e feita de forma mais genérica”.

CEO da Apura (especializada em segurança cibernética e investigação em meios digitais), Sandro Süffert observou que “o Ministério Público tem atuado com muita eficiência em casos públicos de vazamento de dados pessoais no Brasil”, incentivando assim que “incidentes sejam notificados com mais frequência”.

No caso da C&A, a Comissão de Proteção de Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) divulgou ontem (03) a instauração de procedimento administrativo para apurar consequências do incidente.

A mesma comissão firmou, em fevereiro, acordo com a varejista online Netshoes para garantir que incidente de segurança do e-commerce fosse reportado para mais de dois milhões de clientes afetados no fim de 2017. Um ação contra o Banco Inter por comprometimento de dados de 19 mil pessoas também foi ajuizada pela unidade do MPDFT.

Cultura

De acordo com Sandro Süffert, da Apura, “as empresas só mudarão as políticas de segurança se houver uma fiscalização mais eficaz”. “Hoje, poucas empresas no Brasil fazem o mínimo para evitar que vazamentos ocorram. A LGPD é um avanço significativo, mas não irá vencer um histórico de abandono deste assunto de forma rápida”, afirmou o especialista em cibersegurança.