O vazamento de dados é um termo auto explicativo. Os dados de algum sistema, arquivo físico ou digital, por exemplo, são vazados tanto por pessoas mal intencionadas ao manuseá-los, ou por imperícia do controlador desses dados ao realizar a coleta e armazenamento deles. Em ambos os casos, há consequências legais para a sua empresa.
Em setembro de 2021, a título de curiosidade, ocorreu um vazamento de dados que levou 456 milhões de dados pessoais e 109 milhões de informações de CNPJs, e placas de veículos, a serem expostos sem nenhuma proteção.
Segundo pesquisas, 3 em cada 4 empresas já passaram por esse transtorno, sendo algo muito maior do que imaginamos. Esses dados fornecidos, em mãos erradas, podem ser usados de maneira criminosa.
Com esse percentual altíssimo de vazamento, você deve estar pensando, como a minha empresa deve proceder quando há vazamento de dados dos clientes? Continue a leitura e entenda.
O que acontece quando dados vazam?
Quando dados de pessoas físicas ou jurídicas ficam expostos na internet, os hackers/cibercriminosos conseguem enviar e-mails maliciosos com malwares, trojans e outros tipos de vírus para o seu computador.
Esse método possibilita que o acesso a informações confidenciais, como senhas dos mais diversos aplicativos, dados particulares, conversas entre outros, sejam visualizados e até mesmo utilizados para realizar compras online se passando pela pessoa.
Ademais, o CPF para esse tipo de pessoa mal intencionada é um pote de ouro, além do dinheiro do banco, ele pode também pegar os dados bancários, endereço, e outras informações pessoais.
Outro bom exemplo de vazamento de dados é a prática de phishing (fraude na internet), sendo o envio de e-mails maliciosos para acessar a máquina do usuário que abre os mesmos.
Se para uma só pessoa o estrago pode ser imenso, imagine para uma empresa, a qual possui milhares de dados em seu poder, isso vai muito além do que podemos imaginar, é algo seríssimo.
A empresa pode responder pelo vazamento
A Lei Geral de Proteção de Dados é relativamente recente no Brasil, por esse motivo muita gente não sabe e não tem noção do que é permitido ou não fazer legalmente.
Se o titular do dado for notificado, possivelmente tentará resolver o problema acionando o poder judiciário, o que geraria custos para empresa em caso de condenação, haja vista que a ação poderá ser individual ou coletiva, pois o vazamento de dados no âmbito empresarial não é somente relativo a uma só pessoa.
A autoridade como vimos em artigo anterior, é a ANPD (Agência Nacional de Proteção de Dados), a qual é a responsável por fiscalizar e multar quem descumpre a lei.
Como a empresa deve proceder quando há vazamento de dados dos clientes?
Inicialmente, é fundamental que sua empresa implante integralmente a LGPD – Lei Geral de Proteção de Dados.
Em geral as notificações deverão ser feitas em até dois dias úteis após o incidente de segurança com vazamento de dados por meio do preenchimento de um formulário a ser desenvolvido e trabalhado especificamente para sua empresa.
Quanto ao dilema de se notificar ou não, eis algumas ponderações que as organizações devem pesar.
O primeiro ponto que os empresários que tiverem os seus dados em seu controle vazados deverão se ater é se esse irá, de alguma forma, prejudicar sua reputação e as dos seus clientes.
Caso a resposta seja positiva, deverá ocorrer a notificação de seus clientes para que as vítimas que possivelmente possam ser lesadas tomem providências a tempo de prevenir fraude contra elas.
Como quem acompanha nosso blog já sabe, as multas já podem ser arbitradas. No caso do Brasil, elas vão de 2% do faturamento da empresa até R$ 50 milhões por infração, e não há previsão de majoração da punição para o infrator reincidente.
A título de curiosidade, em alguns países como EUA, México e de diversos países da Europa, as multas podem ser aplicadas em dobro pela reincidência.
Próximos passos
Se sua empresa passar por isso, algumas medidas serão tomadas. Recomenda-se que aconteça o acompanhamento de uma assessoria jurídica em conjunto com os demais profissionais responsáveis pela aplicação da LGPD na empresa, bem como, eventual realização de consultoria e perícia forense.
Nesse cenário, o DPO (Data Protection Officer) aqui no Brasil, chamado encarregado de dados, assume papel consultivo, exercendo a atividade relativa a sua função, atuando como canal de comunicação entre o controlador, titular de dados e ANPD.
Dessa maneira, caso o ataque ou vazamento de dados gere risco ou dano latente aos titulares, a comunicação à ANPD e aos titulares de dados ou clientes deverá descrever quais os dados e quem foi afetado.
Além disso, também deverá ser traçado um plano para implementar medidas técnicas e de segurança para efetiva proteção dos dados, e redução das possibilidades de vazamentos, visando que se tornem quase zero. Inclusive, medidas para reverter ou mitigar os efeitos e prejuízos devem ser criadas.
Assim, resumidamente a empresa após o vazamento, deverá empenhar esforços para minimizar os riscos desses dados serem utilizados prejudicialmente, como também traça metas para este tipo de incidente não acontecer mais.
Conclusão
Como pudemos ver, vazamento de dados é algo que poderá trazer inúmeras consequências legais à empresa e danos aos clientes na maioria das vezes de forma não dolosa (sem intenção/consciência).
Mas mesmo assim, o vazamento de dados de forma não intencional, não tira de você empresário o dever de agir para sanar o problema, existem soluções jurídicas que podem evitar que todos esses transtornos aconteçam.
Contamos com uma equipe especializada na Lei Geral de Proteção de Dados para te auxiliar e mitigar os problemas, e em caso de vazamento, prestar todo o auxílio possível.
