Viviana Melo
Advogada, DPO certificada pela Exin, LGPD Essencials pela Exin, membro da IAPP, professora, palestrante e consultora em Proteção de Dados.
A Segurança da Informação, tecnicamente falando, deve garantir que os dados estejam em seu formato original, disponíveis e confidenciais. Mediante o ataque sofrido pelos sistemas da CVC no início do mês, os dados da empresa e de seus clientes foram parar em poder de terceiros, causando enormes prejuízos.
Quando uma empresa como a CVC sofre um ataque que compromete seu banco de dados, todos os seus parceiros são também atingidos, pois se trata de uma cadeia de empresas operando juntas. Uma das exigências da LGPD acerca do uso de dados pessoais de clientes e empregados, por empresas, é a manutenção de garantia da segurança das informações. Caso esses dados sejam compartilhados com outras empresas, referido compartilhamento também gera responsabilidades, inclusive de indenização, no caso de uso indevido ou invasão maliciosa.
Quando a CVC informou, por meio de seu site, que havia sido vítima de ataque cibernético, parceiros como a GOL ficaram em alerta total, bloqueando e-mails da CVC, a fim de evitar que também fossem atingidos.
Pelo porte da CVC é possível concluir que havia um investimento considerável em Segurança da Informação. Mas, ainda assim, sofreu o ataque e, até o momento (12-10-2021, 22h40min) ainda não conseguiu pôr fim à sua agonia. Sites noticiam queda nas ações e prejuízos inúmeros (CVC segue com prejuízos em vendas devido a ataque de ransomware – Canaltech).
Então foi em vão que a CVC investiu em Segurança da Informação e adequação à normas como a LGPD? Claro que não.
Apesar de se saber que houve um ataque de ransomware, os fatos ainda não foram totalmente esclarecidos e dificilmente serão. No entanto, a adequação à lei e às boas práticas não somente permitem a rastreabilidade dos acontecimentos como também prevê em contratos as responsabilidades e direitos de todas as partes envolvidas. Isso, por si só, já resolve uma multidão de problemas.
Ter previsões legais e contratuais, somados à Segurança da Informação e planos de remediação demonstram boa-fé e é a melhor (senão única) saída para sobreviver num mundo digital cheio de ameaças reais.
