Para o mercado corporativo, segurança cibernética e proteção de dados pessoais são dois dos temas mais relevantes do momento e por um bom motivo. O rápido desenvolvimento da Internet, nas últimas décadas, foi responsável por implementar o denominado "Mundo Sem Fronteiras", onde pessoas ao redor do globo podem interagir entre si, estabelecer relacionamentos e, principalmente, desenvolver novos negócios.
Na onda da "onlinização", empresas passaram a explorar o fértil mercado virtual e a fazer uso de ferramentas online, como os serviços de armazenamento em nuvem e e-commerce, sempre com o objetivo de otimizar as suas atividades e atrair novos clientes, expandindo os horizontes empresariais.
O processo de automatização e de digitalização de serviços, somado ao crescimento vertiginoso de usuários da rede, contudo, tornaram o ambiente cibernético prolífico para hackers e cibercriminosos, que optam por utilizar a expertise computacional de forma mal-intencionada, visando a prática de crimes virtuais e, em alguns casos, até mesmo a facilitação do cometimento de crimes tradicionais.
Com o passar dos anos, a natureza das ameaças se desenvolveu e as potenciais consequências de uma violação da segurança para empresas, hoje, são as maiores possíveis.
Isso porque grande parte das diretrizes mundiais de proteção de dados estabelecem a responsabilização de empresas por danos resultantes de incidentes de segurança, ocorrências que podem ser punidas com multas severas e, em alguns países, até mesmo com o encerramento compulsório das atividades de tratamento de dados.
É o que ocorre com a Colômbia, que dispôs em sua legislação a possibilidade de encerramento imediato e definitivo das atividades de empresas que, por falta de zelo, sofrerem a perda de dados pessoais sensíveis em casos de vazamento. Outro caso similar é o da Finlândia, que trata com rigor qualquer violação que envolva a quebra de sigilo de dados oriundos de comunicações eletrônicas e, nessa linha, pune eventuais infratores com o término compulsório de suas atividades.
No Brasil, a Lei Geral de Proteção de Dados Pessoais - LGPD - programada para entrar em vigor em agosto de 2020, estabelece que tais incidentes serão puníveis com multas de até R$ 50 milhões, o que remete às empresas o encargo de promover todos os esforços necessários para evitar um ataque hacker.
Entretanto, enquanto o público em geral sente que as proposições legislativas são importantes e devem se caracterizar como motivação substancial para que agentes do mercado assumam a tarefa de proteger suas informações privadas, as atividades regulatórias do setor têm servido como bússolas para hackers ao redor do mundo.
A título de exemplo, verifica-se o aumento exponencial de ataques hacker no período subsequente à aprovação do GDPR - Regulamento Geral de Proteção de Dados da União Europeia. Em números, estima-se que extorsões virtuais aumentaram em cerca de 50% no período, com prejuízos diretos de mais de 8 milhões de dólares a agentes situados no velho continente.
A impressão que fica é que a simples previsão de que empresas sofreriam consequências regulatórias negativas teria sido suficiente para que criminosos virtuais intensificassem seus ataques, utilizando o rigor das normas pró-privacidade como artifício para extorquir aquelas afetadas por ataques hacker.
O número de ameaças no período foi alavancado, também, pelo uso de Ransomware (softwares maliciosos que bloqueiam integralmente o sistema invadido até que seja realizado o pagamento de um "resgate"), ideais para a extorsão virtual. No caso, o pagamento do resgate é imposto às empresas como contrapartida para que a invasão de privacidade não se torne pública, o que acarretaria sanções regulatórias. Somado a esses fatores, verifica-se que o sucesso de ataques recentes contra empresas e organizações governamentais, tal como ocorreu com o NotPetya e o WannaCry, que atingiram mais de 100 países e cerca de 300 mil computadores, servem de estímulo para a continuidade da prática criminosa por outros hackers.
Dessa maneira, com custos tão altos e certamente crescentes, é cada vez mais evidente e imperativo que empresas, em especial aquelas que lidam com dados pessoais diariamente, adotem as precauções necessárias para evitar o comprometimento de suas operações regulares. O mapeamento dos riscos cibernéticos, a implementação de protocolos de segurança e a efetivação de políticas abrangentes de proteção de dados, certamente, serão o essencial primeiro passo em direção à segurança.
*Felipe Leoni Carteiro L. Moreira, advogado da área cível do escritório Rayes e Fagundes Advogados Associados; Mariana Amorim Arruda, advogada da área societária do escritório Rayes e Fagundes Advogados Associados
