Infelizmente, mesmo com a Lei Geral de Proteção de Dados (lei nº 13.709/2018 ou LGPD) em vigor, é cada vez mais comum lermos diariamente notícias sobre vazamentos de dados em grandes empresas brasileiras - e foi levantando essa questão preocupante que Juliana Abrusio, professora, advogada especializada em direito digital e sócia do escritório Machado Meyer, iniciou sua palestra durante o terceiro dia do Mind The Sec 2021, mais qualificada conferência sobre segurança da informação do continente.
"Isso causa uma grande preocupação, não apenas para o consumidor que é o titular dos dados, mas também para as empresas, que, na qualidade de controladoras, têm um grande caminho a ser percorrido", explica Juliana. "Muitas delas já fizeram uma adequação à LGPD, e uma boa adequação ajuda bastante neste momento. Afinal, o que estamos falando aqui nada mais é do que gerenciamento de crise".
A especialista explica a necessidade de se ter um bom plano de gerenciamento de crises, com processos devidamente estruturados e uma assessoria jurídica eficaz e ágil. "É interessante observar que nós temos duas frentes principais quando falamos sobre gerenciar uma crise: queremos conter, ou seja, agir rapidamente para tapar o buraco, mas ao mesmo tempo queremos trazer uma solução para aquilo não volte a ocorrer. Muitas vezes, infelizmente, é só no momento do incidente que a empresa decide o que fazer".
Três etapas de um incidente
Para Juliana, podemos separar os cuidados para uma gestão adequada em três grupos: Preparo para a Crise (o que inclui comunicação e relações públicas, monitoramento de mídias sociais, preparo de uma declaração padrão etc.); Crise (identificação, análise do incidente, registro cadeia de custódia, ações de mitigação e verificação de seguro cibernético); e Pós-Crise (investigação, medidas corretivas, estruturação e implementação de um novo programa de resposta a incidentes e outras eventuais adaptações).
"Há pontos nesse pré, durante e pós que precisam ser destacados. Um deles é o timing: é preciso ser rápido, pois quando falamos de internet e dados pessoais, poucos minutos fazem a diferença. Por isso é importante trabalhar no lado preventivo e no profilático, pois quanto mais preparada para passar por um episódio como esse, mais rápida será a crise e a sua superação", pontua, ressaltando também a importância de ter um comitê interno de privacidade, a notificação às autoridades competentes e a identificação de eventuais danos.
"No Brasil, que não é um país para amadores, temos o efeito pilling on. É aquilo que acontece no futebol americano, quando todo mundo vai em cima da bola. Quando acontece um incidente de segurança na empresa, ela recebe um ofício do Ministério Público, um da Secretaria Nacional do Consumidor, um da Autoridade Nacional de Proteção de Dados... É por causa disso que chamamos de efeito pilling on. São várias autoridades orbitando este cenário e é necessário ter preparo para lidar com isso".
A palestrante também não se esqueceu de destacar a importância de garantir que as equipes mantenham um formato de trabalho multidisciplinar, que é um resultado diretamente ligado ao planejamento prévio. "A atuação neste universo deve ser multidisciplinar. Não podemos concluir que só um departamento vai resolver. O DPO, ou seja, o encarregado de dados, deve sempre trabalhar com o pessoal da comunicação, de TI, de segurança da informação, do jurídico e alguém da alta direção", conclui.
Jornalista: SOUZA, Ramon
(The Hack - 16.09.2021)
