VIOLAÇÃO DE DADOS E SEGURANÇA DA INFORMAÇÃO: Balanceando proteção e exigências regulatórias

Tamanho: px

Começar a partir da página:

Download "VIOLAÇÃO DE DADOS E SEGURANÇA DA INFORMAÇÃO: Balanceando proteção e exigências regulatórias"

Neuza Bayer Caires
6 Há anos
Visualizações:

1 WHITE PAPER VIOLAÇÃO DE DADOS E SEGURANÇA DA INFORMAÇÃO: Balanceando proteção e exigências regulatórias Adaptado do white paper original Data Breach and Cybersecurity: Balancing Containment and Legal Requirements, da Thomson Reuters. Por Liisa Thomas*

2 Violação de dados e segurança da informação Balanceando proteção e exigências regulatórias Em um sistema contemporâneo em que a tecnologia e, por sua vez, a internet estão cada vez mais infundidas no cotidiano dos negócios globais, no mercado financeiro, nas operações organizacionais e até nas pequenas transações que realizamos via aplicativos mobile, destacam-se também os esforços das organizações para garantir a segurança de seus dados e informações, visto a pertinácia de hackers que, em 2017, provocaram uma série de ataques cibernéticos avassaladores, como o WannaCry. Com a incidência cada vez mais frequente desses eventos, esse assunto deixou de ser uma preocupação apenas das áreas de TI e passou a ser considerado por todas as áreas das organizações, que buscam conscientizar seus colaboradores sobre a proteção de seus dados e informações sigilosas. Áreas como o Jurídico e o Financeiro passaram a ser parceiras-chave na gestão do risco e na instalação de um ambiente seguro na rede. Afinal, são encarregadas por manter o bemestar fiscal e a segurança jurídica contra violações de regulamentações impostas por órgãos governamentais e auditorias. Assim, esses departamentos estão fortemente engajados nas ações internas promovidas em prol da cibersergurança. SE UMA ORGANIZAÇÃO NÃO CUMPRIR OU FALHAR COM AS EXIGÊNCIAS NOTIFICADAS PELAS AUDITORIAS, ELA PODE SER SUBMETIDA A PENALIDADES SOB A NORMATIZAÇÃO DE VIOLAÇÃO DE DADOS. 2

3 Além disso, em infortunados casos paradoxais, se uma companhia notifica, como requerido, uma violação de dados, ela se abre a receber potenciais processos de prática enganosa e estatutos de injustiça (por falhar em proteger a informação, adequadamente onde, mesmo que argumentando, se resulta em uma violação). Em maio de 2018, a entrada em vigor do GDPR (General Data Protection Regulation), as penalidades monetárias e reputacionais tomarão um novo patamar em suas consequências para os casos de não cumprimento das regulações e padrões, além dos níveis de confiança digital depositados em todas as partes envolvidas da cadeia econômica. Com essa complexa teia de exposição jurídica, as empresas que primeiro se conscientizam que estão enfrentando uma possível violação de dados geralmente entram em estado de pânico. Quando a poeira inicial abaixa, o trabalho se divide em duas frentes: aqueles focados na contenção e continuidade do negócio, e aqueles focados em determinar se a organização possui obrigações de aviso de violação sob o ponto de vista de leis relevantes. Geralmente esses objetivos podem ser conflitantes ou, geralmente, os recursos para atingir essas premissas podem divergir. Diferentes times trabalham com perspectivas diferentes do problema. Os recursos internos são ampliados. Mas, afinal, o que as organizações podem fazer? Primeiro, reconhecer que ambos os objetivos são relevantes e que merecem seus recursos. Segundo, contabilizar esses propósitos ao longo do processo da violação. A seguir, seguem alguns passos que as companhias e os times de gerenciamento de crise podem tomar: Antes do incidente Todos sabem sobre a criação de um plano de contenção de crise e realizam seus respectivos testes apropriados. Mas, o que você acha de entender as realidades e as necessidades do seu negócio? Estar preparado e disposto para encarar uma violação, se ela ocorrer, depende do seu bom entendimento desse tipo de informação que é compartilhada. Nunca é tarde para começar esse trabalho, e manter essa informação sempre atualizada pode ser um fundamental em caso de falhas. 3

4 Indo a fundo: investigando um inciente É aqui que o trabalho desses dois objetivos contenção e determinação obrigatoriedades de notificação podem gerar os maiores conflitos. Obviamente você precisará conter e controlar o incidente. Você irá querer seguir esses passos, como investigar a natureza desse incidente, além de ter o time certo com a expertise certa em mãos. Porém, você também precisará saber de alguns fatos específicos dos advogados, que determinam se a notificação será necessária. Isso inclui saber se há o compromisso com a informação e se a própria informação desencadeou uma transgressão das normas de violação (números de Segurança Social, informações médicas, nomes de usuários, senhas etc.). Notificação Se você determinar que uma notificação é necessária, a contenção não deve sair de cena. A sua notificação impactará as investigações em curso? Você irá repelir maus agentes? Essas são as reflexões a serem consideradas enquanto você rascunha a sua notificação ao mesmo tempo em que você trabalha com o embasamento da lei ao ir atrás dos agentes lesivos. Pós-notificação O envio da notificação não é o fim. O time de contenção irá querer olhar quais foram as lições aprendidas para a próxima vez se houver uma. O lado jurídico do time estará pensando nos possíveis questionamentos pós-notificação, se eles virão de reguladores, imprensa ou ainda indivíduos impactados. 4

Independentemente se o incidente envolver um agente indesejado agressivo, disposto a destruir a sua organização ou forçar uma notificação, o seu time deve garantir o seguimento dos passos apropriados

5 Independentemente se o incidente envolver um agente indesejado agressivo, disposto a destruir a sua organização ou forçar uma notificação, o seu time deve garantir o seguimento dos passos apropriados para os dois objetivos para se conter e avaliar os riscos legais. As dicas acima são voltadas para lhe auxiliar a chegar lá. Outra medida que as companhias assumem é entender o amplo cenário que pode surgir e as consequências que podem ter caso um incidente como esse apareça. *Liisa Thomas é uma parceira baseada no escritório de Chicago da Winston & Strawn LLP e assume a cadeira de Privacidade Global e Práticas de Segurança de Dados. Clientes valorizam seus insights globais e familiaridade com sistemas de negócio ao redor do mundo. Com a assistência de Thomas, seus clientes que incluem grandes marcas de bens de consumo, agências de publicidade e organizações de pesquisa de mercado podem navegar sob árduos problemas de divulgação de violação, utilizar técnicas de publicidade emergentes e criar programas de segurança de acordo com as normas, enquanto eficientemente gerenciam seus riscos legais. SOBRE O THOMSON REUTERS LEGAL EXECUTIVE INSTITUTE O Legal Executive Institute reúne pessoas do meio jurídico para potencializar conversas e debates, discutir tendências e eventos recentes, e prover direcionamentos ao fazê-lo confrontar as oportunidades e desafios que essas transformações representam. Acesse: legalexecutiveinstitute.com.br thomsonreuters.com.br

Documentos relacionados

Lei Geral de Proteção de Dados Pessoais

Lei nº 13.709 Lei Geral de Proteção de Dados Pessoais Quão preparada sua empresa está para a nova Lei Geral de Proteção de Dados Pessoais no Brasil? Lei Geral de Proteção de Dados Pessoais 1 Lei Geral