Pesquisar
Close this search box.

A LGPD e a subnotificação policial de crimes cibernéticos

Publicado em
Claudia-Bonard-852x700
Imagem: Reprodução

Texto de Claudia Carvalho. Por Cybertech

Já se tornaram frequentes na mídia as notícias sobre os ataques cibernéticos sofridos por grandes empresas, o que decorre, principalmente, do crescimento do denominado ransomware-as-a service (RaaS), que tem vitimado diversas corporações. Os referidos ataques cibernéticos acarretam desastrosas consequências, não só para o regular funcionamento dos sistemas corporativos, mas também pesados danos financeiros (perdas de contratos) e reputacionais (perda de valor de ações e de clientes).

Não bastasse isso, muitos ataques cibernéticos acabam por provocar o vazamento de dados pessoais de clientes ou colaboradores, o que ocorre, muitas vezes, por exemplo, em caso de recusa de pagamento de resgate em ransomware.

Neste contexto, muitos gestores, que preferiam que o fato permanecesse interna corporis e não fosse divulgado, agora se encontram obrigados a noticiar para as autoridades o incidente que coloque em risco ou cause danos aos dados pessoais de seus titulares, diante da promulgação da Lei Geral de Proteção de Dado Pessoais (LGPD), conforme exige o seu artigo 481:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Ocorre que esconder vazamentos de dados pessoais, definitivamente, não é um bom negócio, tendo em vista que, recentemente, uma grande empresa de aplicativo de transporte foi multada nos EUA por ter escondido das autoridades o vazamento de dados pessoais de diversos clientes.

No caso do Brasil, a comunicação de um vazamento de dados pessoais, seja de forma que tiver acontecido, é obrigatória para a Autoridade Nacional de Proteção de Dados (ANPD), sendo que, na maioria das vezes, esse incidente ocorre por conta de atividade criminosa em sistemas e não por erros de programação.

Assim sendo, em muitos daqueles casos, há invasão de sistemas corporativos, onde se verificam práticas delituosas, como o crime de invasão de dispositivo informático (art 154-A CP– ex: quebra de criptografia e hospedagem de malware espião em servidor3), extorsão (art 158 CP – ex: ransomware4) e etc.

Ocorre que, as empresas apenas se preocupam em comunicar o vazamento de dados pessoais ao órgão fiscalizador (ANPD) e preferem não realizar o necessário registro policial do fato, a despeito das atividades criminosas que foram praticadas em seus sistemas, ao argumento de que não querem publicizar ainda mais o problema, o que não tem sentido em face dos princípios da LGPD.

Ora, o artigo 6º da LGPD, nos seus incisos VI e VIII5, justamente determina que o tratamento de dados pessoais deve respeitar os princípios da transparência e da prevenção ao dano naquela atividade, de forma que os titulares daquelas informações e a sociedade devem ter ciência da gravidade do fato e de que medidas policiais serão tomadas para que criminosos possam ser identificados, uma vez que a participação de insiders (colaboradores internos) nestas situações é cada vez maior, conforme já percebido pelas empresas de tecnologia.

Mesmo assim, ainda é baixo o índice de registros policiais por parte de empresas, o que dificulta o trabalho da polícia na identificação de grupos criminosos e contribui para a perpetuação dos ataques em grandes proporções.

Tal atitude deve ser repensada pelo board das empresas, tendo em vista que o registro policial do fato é naturalmente um desdobramento da observância daqueles princípios da LGPD.

Claudia Carvalho é advogada criminal formada pela Universidade do Estado do Rio de Janeiro (UERJ), especialista em crime cibernético corporativo, palestrante, autora do livro Direito Penal 4.0 (Editora Lumen Juris), professora, mentora em cybercrime na Associação Brasileira de Lawtechs e Legaltechs (AB2L), membro da Associação Nacional de Advogadas(os) de Direito Digital (ANADD) e da LATAM Women in Cybersecurity (WOMCY), além de fundadora e instrutora da Criminal Compliance Business School.

COMPARTILHAR
VEJA TAMBÉM
tozzini
O ThinkFuture, que começou sua trajetória em setembro de 2018, continua a trazer novas perspectivas ao campo jurídico.
Fenalaw241024MARTI-168
Cases de sucesso incluem intercâmbio de profissionais, mentorias para jovens estudantes e reestruturação colaborativa dos departamentos internos das bancas
000
A AB2L está promovendo imersões internacionais exclusivas, oferecendo aos associados a oportunidade de se conectar com o novo
01_(2)
Nos dias 23, 24 e 25 de outubro, a AB2L estará presente na Fenalaw 2024 e convida você
EMPRESAS ALIADAS E MANTENEDORAS

Receba nossa Newsletter

Nossas novidades direto em sua caixa de entrada.