O Brasil e os brasileiros têm, por costume, tomar as providências quando algo grave acontece.
Também está sendo assim quando o assunto é segurança cibernética.
Apesar do Brasil ter sofrido 1,2 milhões de ataques cibernéticos, em dispositivos móveis, leia-se, tablets, notebooks e celulares, o maior crescimento do mundo, as empresas ainda são muito reativas, ou seja, esperam o ataque acontecer para depois iniciar o processo de tomada de providências.
Isso fere a Lei Geral de Proteção de Dados (LGPD) que prevê, claramente, que toda empresa deve ter uma política de segurança dos dados pessoais e não há como ter segurança dos dados sem segurança cibernética.
A Lei Geral de Proteção de Dados protege os dados pessoais, por padrão, nos meios físicos, mas inclui também os meios digitais, ou seja passa pela segurança da informação.
De acordo com Pietro Delai, diretor de pesquisa e consultoria de enterprise da IDC Latin America, o cenário no Brasil parece estar melhorando, sendo que 37,5% das empresas brasileiras consideram investimento na área de segurança em 2023.
Mas, considerar investimento é diferente de investir.
Partindo do princípio que o empresário brasileiro é reativo, só reage quando algo sério acontece, será mesmo que esse investimento acontecerá?
A Lei Geral de Proteção de Dados é clara em relação a isso em seu artigo 46, que dispõe:
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Essas medidas mencionadas no artigo acima transcrito, deixam claro que as medidas devem ser administrativas, protegendo os dados pessoais nos meios físicos, mas também técnicas, aptas a proteger os dados nos meios digitais.
Quando ocorre um incidente de segurança com dados pessoais, a empresa deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência, informando, no mínimo:
“I - A descrição da natureza dos dados pessoais afetados;
II - As informações sobre os titulares envolvidos;
III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - Os riscos relacionados ao incidente;
V - Os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.” (grifos da articulista)
Isso é obrigação legal e nenhuma empresa está isenta de cumprir a determinação do artigo 48, § 1°, da LGPD, acima descrito.
Portanto, como a empresa vai cumprir o inciso III se não tiver uma política de segurança efetivamente implementada?
Já na Resolução n° 4, a Autoridade Nacional de Proteção de Dados deixa claro que não basta “indicar” as medidas, a empresa deve provar que elas foram efetivamente implementadas, sob pena de majoração na aplicação da sanção administrativa.
E a pergunta que não quer calar: sua empresa já implementou, efetivamente, medidas de segurança cibernética ou vai esperar um incidente ocorrer?