Escreva para pesquisar

O que fazer quando a PME sofre por vazamento de dados?

Qualquer violação à segurança de dados pessoais, seja proposital ou acidental, pode trazer problemas para a empresa envolvida.

Por isso, é fundamental que, neste momento, companhias de todos os portes estejam atentas às regras da Lei Geral de Proteção de Dados (LGPD). Afinal, desde o dia 1º de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) está autorizada aplicar sanções a quem as descumprir.

A LGPD não traz uma explicação do que serão considerados incidentes de segurança, o que inclui os vazamentos de dados, diretamente na lei.

especialista da Trend Micro fala sobre vazamento de dados em PMEs

Vanessa Paternoster, da Trend Micro Brasil. Crédito: divulgação

Mas, por hora, a ANPD já liberou uma orientação para esclarecer o que são e como devem ser tratados os vazamentos e incidentes.

O órgão explica que “um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

Em entrevista ao Portal de Notícias da GS1 Brasil, a Coordinator Insides Sales da Trend Micro Brasil, Vanessa Paternoster, explica que, neste contexto, além de vazamentos, acessos não autorizados que modifiquem dados pessoais, ataques de ransomware, perda de dados ou de backups também são considerados como incidentes de segurança da informação e que, portanto, podem acarretar multas.

“A partir de agora, a segurança da informação precisa ser levada a sério desde o desenvolvimento de novos produtos e serviços e não poderá ser uma preocupação só se o negócio der certo”, adverte Vanessa.

Segurança de dados em PMEs

especialista do Sebrae Nacional fala sobre vazamento de dados em PMEs

Diego Ramos Cardoso de Almeida, do Sebrae Nacional. Crédito: divulgação

Pequenas empresas que não possuem volumes de dados consideráveis devem verificar se realmente têm a necessidade de possuir todos os dados aos quais têm acesso ou se podem realizar a mesma atividade com uma quantidade menor de informações.

Assim, é possível adotar as medidas de segurança com menor custo, segundo avalia o encarregado de dados do Sebrae Nacional, Diego Ramos Cardoso de Almeida.

“Empresas com volumes de dados maiores, ou que tratam dados pessoais sensíveis, necessitam se preocupar com medidas de segurança mais robustas e elaborar um programa de privacidade a fim de realizar as adequações de forma contínua, durante toda a existência de um negócio. Nesse sentido, é fundamental envolver todas as áreas da empresa”, adverte.

De maneira geral, o trabalho de adequação para PMEs começa com uma revisão sobre os pontos de contato da empresa com dados pessoais.

“Que dados coletamos? Quais dados deveríamos coletar? Com quem estes dados são compartilhados? Para quais finalidades estes dados serão utilizados e por quanto tempo? Como garantimos que os dados estão seguros e que o titular dos dados sabe o que estamos fazendo com as informações coletadas? Com base nestas respostas será mais fácil procurar ajuda especializada ou perceber quais ações serão recomendadas”, mostra Vanessa.

A lei preconiza que a empresa escolha uma das dez bases legais para fundamentar seu tratamento. Almeida lembra que, entre essas bases legais, a mais famosa é o consentimento prévio do titular através de uma manifestação clara, informativa e inequívoca. Mas o ideal é que a companhia analise qual a melhor base legal que permite cada tratamento de dados pessoais realizado.

Diego Almeida aconselha que o empreendedor deve se atentar, principalmente, aos seguintes passos:

  • Realizar todos os atos necessários para manter a segurança e prevenir quaisquer incidentes com os dados pessoais tratados;
  • Utilizar os dados somente com a finalidade específica para a qual foram coletados ou consentidos;
  • Atuar com transparência perante os titulares dos dados;
  • Deixar clara a responsabilidade que tem, sempre cumprindo as normas de proteção dos dados pessoais, por meio da prestação de contas.

Atenção às penalidades

vazamento de dados nas pmes gera penalidades

Mesmo antes da entrada em vigor da LGPD, empresas que utilizaram dados de forma indevida ou foram envolvidas em vazamentos de dados pessoais já eram processadas e, em alguns casos, condenadas a pagar indenizações às pessoas afetadas.

“Há casos de multas milionárias por vazamento de dados envolvendo empresas de e-commerce ou alguns incidentes envolvendo bancos e redes de farmácia. Agora com a LGPD, além dos possíveis pedidos de indenizações, as empresas que não cuidarem bem dos dados poderão sofrer diversos tipos de sanções que serão aplicadas pela ANPD”, alerta a especialista da Trend Micro, acrescentando que pior do que a possibilidade de multas financeiras é o prejuízo à imagem e ao negócio que um vazamento pode ocasionar.

Diego Almeida lembra que a LGPD define um conjunto de sanções administrativas contra empresas que incorrerem em falhas de segurança que propiciem a violação da segurança. Entre elas:

  • Advertência, com prazo para corrigir as infrações;
  • Multa simples ou diária de até 2% do faturamento da empresa no ano anterior, até o limite de R$ 50 milhões por infração;
  • Tornar pública a infração cometida;
  • Bloqueio dos dados pessoais relacionados à infração;
  • Eliminação dos dados pessoais relacionados à infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de seis meses, prorrogável por igual período;
  • Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total das atividades relacionadas a tratamento de dados.

Apoio tecnológico

Existem diferentes tipos de PMEs e cada uma deverá refletir para que e como usa dados pessoais em seu negócio.

“Um restaurante, comércio ou academia conseguirá buscar a adequação mais facilmente, contratando ferramentas de gestão para controles de clientes que esteja adequada à lei, por exemplo. Já uma startup de tecnologia que tenha como objetivo realizar consultas médicas por meio da internet deverá revisar várias outras questões sobre o seu produto e forma de coletar dados para buscar a adequação e garantir que os dados estão seguros”, exemplifica Vanessa.

Seja qual for o ramo do negócio, é necessário elevar a proteção do ambiente computacional por meio do uso tecnologias de segurança. São exemplos Firewall, Anti-Vírus, Virtual Protection Network – VPN, Anti-Spam, Data Loss Protection – DLP e outras.

“É importante aderir ao uso de soluções para de autenticação dos usuários à rede com segundo fator de segurança. Além disso, manter os softwares, aplicativos, sistemas operacionais e o backup das informações sempre atualizados”, enumera a especialista da Trend Micro.

O que fazer caso o vazamento de dados aconteça?

vazamento de dados em PMEs

Os dois tipos de erros mais comuns que levam ao vazamento de dados em PMEs são o compartilhamento de planilhas e documentos digitais contendo dados pessoais; e a abertura de e-mails maliciosos, chamados de phishing, adverte Diego Almeida.

“Ambos podem ser evitados realizando uma constante capacitação sobre conscientização dos riscos que a empresa corre. Assim, é possível evitar que colaboradores possam compartilhar de forma indiscriminada tais arquivos digitais em uma devida análise e classificação. E, ao mesmo tempo, auxiliar os colaboradores a reconhecer e-mails maliciosos com o intuito de serem atrativos o suficiente para que seja clicado abrindo a possibilidade de um ataque de sequestro de dados pessoais”, aponta o especialista.

Portanto, é importante que a empresa pense preventivamente neste assunto, planejando algumas ações e passos numa política de segurança da informação e de gestão de incidentes.

Num caso concreto, a empresa deverá trabalhar rapidamente para controlar o vazamento, identificar as causas que deram origem ao incidente, notificar os usuários, clientes e pessoas físicas que podem ter sido afetadas pelo vazamento e iniciar os procedimentos de reporte e explicações para a ANPD, conforme explica a especialista da Trend Micro.

“Atualmente, a ANPD pede que tudo isso seja feito no prazo de dois dias úteis. Ou seja, quem não tiver feito a lição de casa antes, não conseguirá cumprir o prazo e estará sujeito a multas e sanções maiores”, finaliza.

Fotos: iStock

Leia também

Apenas 30% das empresas estão adequadas à LGPD, diz estudo

 

Tags

Send this to a friend