As empresas precisam hoje proteger as informações dos seus clientes. Me refiro aquelas mesmas informações que muitas vezes são divulgadas espontaneamente em redes sociais, e-mails e outras diversas formas eletrônicas que podem ser facilmente replicadas e “viralizar”. Contudo, quando a exposição é realizada por iniciativa própria é diferente de quando ela é feita por um terceiro, o que pode gerar mal-estar ou até mesmo algum dano moral ou material para quem publicou. É aí que mora o problema.
Expor informações de alguém é no mínimo, comparado a fazermos uma “fofoca” desta pessoa. Ela sente-se mal com a exposição e os outros também se sentem mal por ela, o que causa no mínimo um “dano” a imagem de quem deixou a informação “vazar”.
Neste contexto, se a empresa que deixou a informação vazar tem a “credibilidade” como um de seus pilares de atuação, a divulgação do vazamento torna-se uma catástrofe, um dano muito difícil de reparar quando não, impossível.
Vazamentos de dados são o pesadelo de negócios de diversas empresas. Segundo o relatório Lessons Learned from a Decade of Data Violations, que examinou 433 ataques de violação de dados, 86% dessas violações começam com ataques a identidades e a aplicações. Portanto administrar as vulnerabilidades de aplicações e limitar o impacto de identidades violadas deve ocupar um lugar de destaque na lista de prioridades do CSO e do CIO.
A maioria das empresas no Brasil já está se movimentando para estar em conformidade com a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 16/02/2020 e representará importantes mudanças para a sociedade. Trata-se de um projeto de avaliação de governança corporativa que envolve um dos mais famosos tripés: processos, pessoas e tecnologia.
De maio de 2018 a janeiro deste ano, empresas europeias já fizeram 41.502 notificações sobre ameaças ou incidentes de vazamento de dados, conhecidos como “data breach”. As notificações são obrigatórias em casos de suspeita de compartilhamento ilegal de informação.
Os incidentes de segurança envolvendo dados pessoais são cada vez mais frequentes, representando riscos relevantes e inerentes ao tratamento de dados para qualquer empresa. Para estar compliance com o GDPR, o melhor modo é a prevenção mediante desenvolvimento de planos de ação para vazamento de dados que contemplem a rápida avaliação da necessidade de reportar o fato à autoridade competente e/ou aos próprios titulares dos dados.
Pelo vazamento de dados, o Banco Inter fechou acordo e pagará R$ 1,5 milhão. O Uber pagou hackers para encobrirem vazamento de dados e agora terá de arcar com uma multa de US$ 148 milhões para estados americanos. Divulgado recentemente pelos meios de comunicação, a empresa brasileira Netshoes terá que pagar R$500 mil pelo vazamento de dados de quase 2 mil clientes.
Quando existe o vazamento das informações muitas empresas se comprometem a implantar medidas adicionais ao seu Programa de Proteção de Dados, realizam esforços de orientação aos consumidores, aumentam o nível de conhecimento sobre os riscos cibernéticos e medidas de proteção dos dados pessoais.
Nestes casos, quando as obrigações são descumpridas, o Ministério Público propõe ação de reparação pelos danos morais coletivos, acarretando ainda mais penalidades para a empresa.
O mercado brasileiro e internacional passa por uma fase de intensas ocorrências de vazamentos e exposição de dados e já estão sofrendo pesadas penalizações financeiras. Só resta saber qual será a próxima empresa a ser multada pelo descumprimento da nova legislação.
Por Marco Zanini, Presidente da DINAMO Networks
MULTAS NACIONAIS E INTERNACIONAIS
Banco Inter R$1.5 milhão
Netshoes: R$500 mil
Uber: US$ 148 milhões
Yahoo: US$ 85 milhões
Tesco Bank: US$ 21 milhões
Anthem: US$ 16 milhões
Fresenius Medical Care North America: US$ 3,5 milhões
Equifax e Facebook: US$ 650.000
* Se condenada, a Google Brasil poderá ser multada em até R$ 9,7 milhões
