Os riscos pela falta de um compliance digital

Apesar de não está ainda em vigor a Lei Geral de Proteção de Dados Pessoais promulgada no Brasil, o programa de integridade é imprescindível em empresas brasileiras já que a General Data Protection Regulation (GDPR), o Marco Civil da Internet (MCI) e o Código de Defesa do Consumidor (CDC) estão em vigor e poderão ser utilizados para aplicação de sanções pesadas contra empresas que não possuem um programa de integridade digital.

A IBM publica anualmente pesquisa em parceria com o Instituto Ponemon sobre o panorama da cibersegurança nas empresas brasileiras para proteção dos dados pessoais desde a sua coleta até o seu descarte. Em 2017 o estudo concluiu que as empresas brasileiras perdem mais R$ 4,7 milhões com vazamento de dados, principalmente por ataques maliciosos. No estudo de 2018 a IBM e o Instituto Ponemon identificou que os gastos com os vazamentos de dados caíram, mas o Brasil ainda é o país mais propenso a ataques cibernéticos e que o custo médio de uma violação de dados global é de US$ 3,86 milhões. Já em 2019 o estudo apontou que o custo médio de um ataque cibernético é de US$ 3,92 milhões.

As consequências financeiras de uma violação de dados podem ser maiores para pequenas e médias empresas. No estudo, organizações com menos de 500 funcionários sofreram perdas de mais de US$ 2,5 milhões em média – um montante potencialmente devastador, pois o faturamento destas está em torno de US$ 50 milhões ou menos em receita anual. (IBM COMUNICA, 2019)

Os últimos dois estudos da publicados pela IBM demonstram que cerca de 96% os brasileiros não confiam que as empresas fazem a proteção de seus dados pessoais corretamente e que 77% das organizações a nível mundial não possuem um plano de resposta aos incidentes com vazamento de dados.

Semanalmente temos visto na imprensa notícias sobre vazamento de dados pessoais envolvendo empresas dos mais variados setores da economia e com multas que ultrapassam os R$ 200 milhões: serviços (Uber), TIC (Vivo, Claro, Google e Facebook), financeiro (Banco Inter e Banco Ban), saúde (Unimed) e até órgãos públicos como foi o caso do DETRAN-RN.

Ter uma boa governança de TI trabalhando em conjunto com uma assessoria jurídica poderá minimizar os riscos de um ataque cibernético e o valor das multas. Isenção total delas não é possível primeiro porque qualquer equipamento conectado à internet é passível de ataque e segundo porque as legislações aplicáveis preveem a responsabilidade solidária pelos danos causados às vítimas que, em sua grande maioria, passa da casa das centenas de milhões.

É importante que as empresas estejam atentas às legislações que estão em vigor atualmente e não ater-se exclusivamente à Lei Geral de Proteção de Dados que entrará em vigor em agosto de 2020. Como dissemos no início do texto, a GDPR, o MCI e o CDC poderão ser aplicados às empresas de acordo com o caso concreto.

O CDC prevê detenções que podem chegar a 1 ano ou o pagamento de multa e, dependendo da gravidade, a proibição do exercício das atividades. O MCI prevê como sanções multa de até 10% do faturamento anual do exercício anterior, a suspensão temporária e a proibição das atividades da empresa. A GDPR prevê a aplicação de multa de até 20 milhões EUR ou de até 4% sobre o faturamento anual do exercício anterior, bem como as sanções previstas na legislação do Estado-Membro onde ocorreu o vazamento.