Por Henrique Zalaf
O foco principal da LGPD é proteger os dados pessoais e privacidade das pessoas físicas. Já se sabe que as informações pessoais possuem valor monetário significativo e, não à toa, algumas das empresas mais valiosas no mundo possuem grandes bases de dados, tais como Facebook ou Google.
Se por um lado as violações de privacidade trazem penalidades financeiras significativas, já existem estudos que apontam a valorização de empresas que se preocupam com a cultura de proteção de dados. Além de vantagens operacionais e competitivas, as empresas em conformidade com as normas de privacidade recebem benefícios equivalentes a 2,7 vezes o investimento que fizeram (https://itforum.com.br/roi-de-investimento-em-protecao-de-dados-no-brasil-chega-a-28x-dos-gastos/#:~:text=A%20Pesquisa%20de%20Privacidade%20do,%C3%A0s%20suas%20pr%C3%A1ticas%20de%20IA).
Neste sentido, muito se fala sobre as penalidades administrativas decorrentes de um incidente de segurança. A LGPD estabelece sanções administrativas que incluem advertência, multa simples de até 2% do faturamento, multa diária, publicização da infração, bloqueio ou eliminação de dados pessoais, suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados e proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Tamanha é a preocupação que no mês de abril de 2024, a ANPD editou Resolução CD/ANPD nº 15, que versa sobre a Regulamentação da Comunicação de Incidentes de Segurança. Por meio dessa resolução, a ANPD estabelece diretrizes específicas para a comunicação de incidentes de segurança e delineia os procedimentos e responsabilidades dos agentes de tratamento de dados.
Porém, além dos impactos legais de um incidente de segurança, o empresário deverá se preocupar com as repercussões negativas decorrentes de um incidente de segurança, tais como interrupção dos serviços, pagamentos de resgates e danos reputacionais.
A interrupção dos serviços de uma empresa como resultado de um incidente de segurança pode ter impactos devastadores em suas operações e reputação. Quando os sistemas são comprometidos por ataques cibernéticos, como ransomware ou ataques de negação de serviço (DDoS), os serviços essenciais podem ficar indisponíveis por períodos prolongados. Essas interrupções não apenas afetam a capacidade da empresa de atender seus clientes e cumprir prazos, mas também podem resultar em perdas financeiras significativas devido à queda nas vendas e produtividade reduzida.
A recuperação após uma interrupção de serviço causada por um incidente de segurança pode ser complexa e demorada. Muitas vezes as equipes de TI precisam dedicar esforços significativos para restaurar a funcionalidade dos sistemas comprometidos, o que pode envolver a reconstrução de dados, a implementação de medidas de segurança adicionais e a realização de investigações forenses para identificar a origem do ataque. Enquanto isso, a empresa enfrenta pressão para retomar suas operações normais o mais rápido possível para minimizar os impactos financeiros e recuperar a confiança dos clientes. No entanto, o processo de recuperação pode ser caro e demorado, destacando a importância de investir em medidas proativas de segurança cibernética para prevenir incidentes e mitigar os danos potenciais à continuidade do negócio.
Além disso, podemos apontar a exigência de pagamentos de resgates, eventualmente existentes em incidentes de segurança. Os pagamentos de resgate são uma consequência desafortunada de muitos incidentes de segurança, especialmente aqueles envolvendo ransomware. Quando os sistemas de uma empresa são bloqueados ou seus dados são criptografados por cibercriminosos, eles muitas vezes exigem o pagamento de um resgate para restaurar o acesso. Ceder às demandas de resgate não garante necessariamente a recuperação completa dos dados ou a restauração dos sistemas comprometidos, e pode até encorajar futuros ataques.
O dilema moral e financeiro enfrentado pelas organizações diante de demandas de resgate é mais um complicador. Por um lado, o pagamento pode ser visto como uma maneira rápida de recuperar o acesso aos dados cruciais e minimizar os danos operacionais. Por outro lado, isso alimenta a indústria lucrativa do cibercrime e pode colocar a empresa em uma posição de vulnerabilidade futura, já que os cibercriminosos podem direcioná-la novamente no futuro. Como tal, as empresas muitas vezes se encontram em uma posição difícil, equilibrando os riscos e benefícios de pagar um resgate contra a busca de soluções alternativas para recuperar seus sistemas e proteger seus dados.
Por fim, os danos reputacionais resultantes de incidentes de segurança podem ser profundos e duradouros. Quando a segurança de dados é comprometida e informações confidenciais dos clientes são expostas, a confiança do público na empresa é abalada. As manchetes negativas e a cobertura da mídia em torno do incidente podem rapidamente se espalhar, expondo a falha de segurança e deixando os clientes preocupados com a privacidade de seus dados.
Além disso, os danos reputacionais podem se estender além do público em geral e afetar as relações comerciais da empresa. Parceiros comerciais, fornecedores e investidores podem ficar hesitantes em continuar suas associações com uma empresa que demonstrou fragilidade em proteger suas informações. Parcerias comerciais podem ser rompidas, contratos cancelados e investimentos reduzidos, impactando negativamente a saúde financeira da empresa. Reconstruir uma reputação danificada pode ser um processo longo e desafiador, exigindo medidas proativas de transparência, prestação de contas e investimento contínuo em segurança cibernética para reconquistar a confiança do público e das partes interessadas.
Diante dos sérios riscos que os incidentes de segurança representam para a reputação e o funcionamento de uma organização, é crucial que os empresários adotem uma abordagem proativa e centrada na prevenção. Isso implica em disseminar uma cultura organizacional que valorize e priorize a segurança da informação, através de investimentos em tecnologias de segurança robustas, desenvolvimento de documentação jurídica sólida e, acima de tudo, um compromisso contínuo com o treinamento e a conscientização dos funcionários sobre práticas de segurança cibernética. Além disso, é relevante pensar em um plano de resposta a incidentes, que deve abranger tanto procedimentos internos quanto externos, envolvendo clientes, mídia, entre outros.