02/08/2021 - 17:30
A Protege foi a mais recente vítima de uma tentativa de ataque cibernético na última quarta-feira (28). Os sistemas não foram comprometidos e as operações foram retomadas no mesmo dia, segundo o UOL. Mesmo assim, a empresa de segurança poderia, em tese, ser multada caso fossem vazados dados de seus clientes.
Isso porque as sanções da Lei Geral de Proteção de Dados (LGPD) podem ser aplicadas, segundo a legislação, a partir deste mês de agosto. Porém, segundo a Autoridade Nacional de Proteção de Dados (ANPD), ligado à Presidência da República e responsável pela fiscalização e aplicação das punições, elas ainda não estão valendo.
+ Precatórios e bolsa família: entenda a proposta do governo
Segundo a diretora da Autoridade, Miriam Wimmer, a aplicação de multas será objeto de uma norma específica, cuja proposta ainda está em estudo dentro da ANPD. “Apenas após a aprovação desse regulamento o uso de multas em punições poderá ser adotado. A ANPD, então, ainda não pode aplicar multas, apesar da previsão em lei”, afirma.
A ANPD que define a forma como será feita a fiscalização e os critérios para aplicação das sanções. Uma proposta foi colocada em consulta pública entre maio e junho e recebeu mais de 1.800 contribuições. A consulta trouxe uma perspectiva gradual que vai do acompanhamento de possíveis violações até diferentes graus de intervenção por parte do órgão.
As penalidades previstas na LGPD vão de simples advertências a multas de até 2% do faturamento da empresa, com limite de RS$ 50 milhões e prazo de adequação das empresas, determinado pelo Congresso, às novas regras terminou em julho
Desafios
Assim como no ataque à Protege, um dos principais desafios das empresas é o investimento em segurança digital para evitar ataques de ransomware. Esse tipo de invasão criminosa sequestra o servidor e/ou computadores de uma empresa para então negociar um resgate em criptomoedas. A JBS, por exemplo, pagou US$ 11 milhões em junho deste ano para retomar o acesso a seus sistemas e produção nos Estados Unidos.
A LGPD estabelece regras às empresas sobre como lidar com os dados colhidos de seus clientes. As empresas devem deixar claro quais dados serão analisados, como serão coletados e com qual finalidade serão analisados. O cidadão, titular de seus próprios dados, precisa autorizar o fornecimento de suas informações pessoais e ser notificado em caso de incidentes.
Como se proteger?
Se a empresa teve dados de clientes vazados, é necessário avisar a ANPD. Já especialistas em Tecnologia da Informação listam uma série de cuidados para evitar ataques por ransomwares:
– treinamento e conscientização em Segurança da Informação com os colaboradores da empresa;
– Usar duplo fator de autenticação em acessos remotos às VPNs;
– Usar solução de EDR (Endpoint Detection and Response);
– Criptografia de arquivos nos servidores e computadores;
– Fazer testes de invasao periódicos para identificar vulnerabilidades e riscos;
– Monitorar eventos de segurança com um SOC (Security Operations Center).
Punições previstas pela LGPD
– Advertência;
– Publicidade da infração de uma empresa;
– Multa simples de até 2% do faturamento da empresa com limite máximo de RS$ 50 milhões
– Multa diária;
– Eliminação dos dados pessoais referentes à infração;
– Suspensão do tratamento de dados pessoais referentes à infração por seis meses;
– Proibição parcial ou total das atividades relacionadas a tratamento de dados.
Os valores pagos em eventuais sanções serão destinados ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos de reparação de danos ao consumidor.
Denúncias
Qualquer consumidor pode abrir um chamado para realizar uma denúncia a ser apurada pela ANPD. No site da ANPD, basta procurar pelo link “Denúncia”. No entanto, é obrigatória a tentativa de contato com a empresa que armazena as informações antes de formalizar uma denúncia. É necessário comprovar a tentativa de aviso através de Peticionamento Eletrônico, no qual é possível enviar captura de telas e e-mails não respondidos.