A AB2L iniciou suas atividades em 2017 e, desde então, escreve os capítulos de uma história que tem muito para contar sobre o ecossistema de tecnologia jurídica.
Conheça nossas associadas.
Programas para educar o mercado, fomentar o ecossistema e participar ativamente do processo de regulamentação brasileiro entre direito e tecnologia.
Capítulos regionais/locais exclusivos para associados e grupos abertos ao público em geral.
Texto de Claudia Carvalho. Por Cybertech
Já se tornaram frequentes na mídia as notícias sobre os ataques cibernéticos sofridos por grandes empresas, o que decorre, principalmente, do crescimento do denominado ransomware-as-a service (RaaS), que tem vitimado diversas corporações. Os referidos ataques cibernéticos acarretam desastrosas consequências, não só para o regular funcionamento dos sistemas corporativos, mas também pesados danos financeiros (perdas de contratos) e reputacionais (perda de valor de ações e de clientes).
Não bastasse isso, muitos ataques cibernéticos acabam por provocar o vazamento de dados pessoais de clientes ou colaboradores, o que ocorre, muitas vezes, por exemplo, em caso de recusa de pagamento de resgate em ransomware.
Neste contexto, muitos gestores, que preferiam que o fato permanecesse interna corporis e não fosse divulgado, agora se encontram obrigados a noticiar para as autoridades o incidente que coloque em risco ou cause danos aos dados pessoais de seus titulares, diante da promulgação da Lei Geral de Proteção de Dado Pessoais (LGPD), conforme exige o seu artigo 481:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Ocorre que esconder vazamentos de dados pessoais, definitivamente, não é um bom negócio, tendo em vista que, recentemente, uma grande empresa de aplicativo de transporte foi multada nos EUA por ter escondido das autoridades o vazamento de dados pessoais de diversos clientes.
No caso do Brasil, a comunicação de um vazamento de dados pessoais, seja de forma que tiver acontecido, é obrigatória para a Autoridade Nacional de Proteção de Dados (ANPD), sendo que, na maioria das vezes, esse incidente ocorre por conta de atividade criminosa em sistemas e não por erros de programação.
Assim sendo, em muitos daqueles casos, há invasão de sistemas corporativos, onde se verificam práticas delituosas, como o crime de invasão de dispositivo informático (art 154-A CP– ex: quebra de criptografia e hospedagem de malware espião em servidor3), extorsão (art 158 CP – ex: ransomware4) e etc.
Ocorre que, as empresas apenas se preocupam em comunicar o vazamento de dados pessoais ao órgão fiscalizador (ANPD) e preferem não realizar o necessário registro policial do fato, a despeito das atividades criminosas que foram praticadas em seus sistemas, ao argumento de que não querem publicizar ainda mais o problema, o que não tem sentido em face dos princípios da LGPD.
Ora, o artigo 6º da LGPD, nos seus incisos VI e VIII5, justamente determina que o tratamento de dados pessoais deve respeitar os princípios da transparência e da prevenção ao dano naquela atividade, de forma que os titulares daquelas informações e a sociedade devem ter ciência da gravidade do fato e de que medidas policiais serão tomadas para que criminosos possam ser identificados, uma vez que a participação de insiders (colaboradores internos) nestas situações é cada vez maior, conforme já percebido pelas empresas de tecnologia.
Mesmo assim, ainda é baixo o índice de registros policiais por parte de empresas, o que dificulta o trabalho da polícia na identificação de grupos criminosos e contribui para a perpetuação dos ataques em grandes proporções.
Tal atitude deve ser repensada pelo board das empresas, tendo em vista que o registro policial do fato é naturalmente um desdobramento da observância daqueles princípios da LGPD.
Claudia Carvalho é advogada criminal formada pela Universidade do Estado do Rio de Janeiro (UERJ), especialista em crime cibernético corporativo, palestrante, autora do livro Direito Penal 4.0 (Editora Lumen Juris), professora, mentora em cybercrime na Associação Brasileira de Lawtechs e Legaltechs (AB2L), membro da Associação Nacional de Advogadas(os) de Direito Digital (ANADD) e da LATAM Women in Cybersecurity (WOMCY), além de fundadora e instrutora da Criminal Compliance Business School.
Nossas novidades direto em sua caixa de entrada.