LGPD | A importância de conscientizar equipes sobre
riscos de incidentes de segurança
As recentes notícias sobre incidentes de segurança
da informação, com uma ocorrência no Superior Tribunal de Justiça, uma
tentativa no Tribunal Superior Eleitoral e o ocorrido na última sexta-feira
(27), contra o Tribunal Regional Federal da 1ª Região, chamaram atenção para os
riscos de segurança da informação, com vazamentos de dados que podem alcançar
as organizações, inclusive as EFPCs.
De acordo com a LGPD
– Lei Geral de Proteção de
Dados Pessoais, em seu artigo 46, os agentes de tratamento devem adotar medidas
de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Além dos padrões técnicos de TI – Tecnologia da
Informação e SI – Segurança da Informação, que podem ser adotados com o
objetivo de proteger os dados pessoais, é importante que todo o corpo funcional
das entidades esteja atento aos riscos de vulnerabilidades de dados pessoais
aos quais as organizações estão expostas.
A necessidade de prevenção, que é um dos princípios
da lei, impõe que os usuários que trabalhem para os agentes de tratamento
enxerguem além do óbvio, já que os sinais indicadores das catástrofes e riscos
aparecem e podem ser percebidos por qualquer empregado.
Para isso, é importante que os colaboradores sejam
informados e estejam à vontade para cooperar, pois, de quem menos se espera,
poderá ser percebida a falha ou o sinal de invasão.
É indispensável, portanto,
envolver as equipes com conscientização e treinamentos, fazendo com que se
sintam parte do que importa, para que sejam um time alerta e comprometido. E
isso serve para todos os tipos de riscos.
Seguem algumas dicas que podem ser adotadas nos
treinamentos e trabalho remoto:
- Ter cuidado com o acesso às VPNs – Rede
Privada Virtual – manter o acesso logado somente durante o tempo do
expediente de trabalho, para evitar ataques de hackers oportunistas);
- Não acessar VPNs ou arquivos corporativos em
nuvem por dispositivos em locais de rede wi-fi pública;
- Usar senhas corporativas com critérios de
criação capazes de prevenir a dedução de terceiros e frequentemente
renová-las;
- Ter atenção à atuação dos hackers por meio de
engenharia social – técnica usada pelos cibercriminosos em geral para
obter informações, invadir sistemas e ter acesso a dados pessoais, como:
e-mail de bancos pedindo para trocar senha, cavalo de tróia enviado por
meio de “ofertas irrecusáveis”, links conhecidos com alteração de
caracteres quase imperceptíveis, entre outros.
Essas são apenas dicas que, caso a caso, poderão
ser adotadas e/ou complementadas, a depender da realidade das organizações.
Apesar de não existir a possibilidade de evitar
todos os riscos, o componente humano é também fundamental para que as entidades
fechadas estejam adaptadas à LGPD.
Os dirigentes podem e devem estimular a
cultura da proteção de dados como uma forma de evidenciar o cumprimento da lei,
já que a adoção de medidas administrativas, nos termos do art. 46, é um dever
imposto aos agentes de tratamento.
Além disso, ainda que nenhuma pessoa jurídica
esteja livre de sofrer um ataque cibernético ou outro tipo de incidente de
segurança, certamente a Agência Nacional de Proteção de Dados exigirá que as
organizações demonstrem que tomaram as medidas possíveis para prevenir esses
riscos e que reagiram prontamente na hipótese da ocorrência de um incidente de
segurança, inclusive, fazendo as comunicações cabíveis quando evidenciados
riscos ou danos relevantes aos titulares.
Ana Paula Cardoso Pimenta - Data Protection Officer
e advogada do SERPROS Fundo Multipatrocinado