Os ataques cibernéticos e a lei de proteção de dados

OS ATAQUES CIBERNÉTICOS E A LEI DE PROTEÇÃO DE DADOS

Muito tem se falado acerca do ataque cibernético sofrido pela rede varejista Lojas Renner no último dia 19, que neutralizou os sites da empresa até o sábado (21/8) e deixou o app sem funcionar até domingo (22/8). Ataques como esse estão se tornando recorrentes no país, merecendo destaque a invasão sofrida pela JBS, que culminou no pagamento de um resgate de US$ 11 milhões para evitar o vazamento de dados protegidos pela LGPD.

Para aqueles que não sabem do que se trata, esse tipo de ataque é chamado de ramsomware, no qual um vírus impede o acesso às informações armazenadas em determinado sistema, com o objetivo de forçar o pagamento de valores gigantescos para recuperar os dados, geralmente em criptomoedas, o que torna quase impossível rastrear o criminoso.

Além da cobrança de resgate, derrubada do acesso ao site e aplicativo (que pode significar a paralisação das operações essenciais do negócio) e prejuízos à imagem da empresa, especialmente no quesito segurança da informação, esse tipo de incidente também pode gerar responsabilidades legais em decorrência da Lei Geral de Proteção de Dados (LGPD), que obriga as empresas a adotarem medidas de segurança aptas a proteger dados pessoais de acessos não autorizados e de situações ilícitas, de destruição ou perda.

Nessa esteira, a LGPD criou a Autoridade Nacional de Proteção de Dados, a quem é atribuída a responsabilidade por zelar pela proteção dos dados pessoais, inclusive fiscalizando e aplicando sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.

Com base em preceitos da LGPD, o Procon-SP notificou a Lojas Renner para prestar contas sobre a existência de um plano de proteção e recuperação que esteja sendo executado, sobre o processo de criptografia utilizado na coleta, tratamento e armazenamento de dados dos clientes (titulares dos dados), bem como sobre a presença de um encarregado de dados nomeado.

Isso mostra que se um incidente de segurança, além de acarretar dano aos titulares de dados pessoais no tocante ao tratamento indevido, também ensejar em ofensas às normas da legislação civil, penal, consumerista etc., os responsáveis poderão ter de arcar com sanções aplicadas em processos administrativos, movidos por outras agências reguladoras ou órgãos de defesa do consumidor, e, inclusive, podem ser responsabilizados civil ou penalmente pelo ato.

Diante do risco de ataques cibernéticos, é necessário munir-se com rigorosas políticas de segurança da informação de proteção de dados pessoais, seja para evitar os prejuízos com o “sequestro” de informações ou, ainda, para garantir que os direitos dos titulares sejam observados e, com isso, mitigar as contingências de processos administrativos e/ou judiciais.

Foto/Destaque: Divulgação

Qual sua opinião? Deixe seu comentário

Gostou do Conteúdo? Assine nossa Newsletter

Compartilhe:

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email

Compartilhe:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no telegram
Compartilhar no whatsapp
Compartilhar no email