ArtigosDireito Digital

Compliance digital e fraudes: onde estão as red flags?

Compliance Digital e Fraudes: onde estão as Red Flags?

O compliance digital, sem dúvidas, enfrenta uma série de desafios. O primeiro deles é reconhecer a sua necessária especificidade. Não a sua independência setorial, porque não se pode falar em compliance sem interdisciplinaridade, mas, sim, a sua importância dentro das estruturas negociais.

Desafios do compliance digital

Para além da macro estrutura de conformidade, que envolve desde as licenças de uso dos softwares pelos usuários aos termos de uso de sites e aplicativos e plataformas digitais utilizadas, passando pelos contratos eletrônicos, vamos nos ater nesse artigo especialmente à segurança da informação e proteção de dados pessoais.

Isto porque Habemus LGPD!

Como em 14 de agosto último foi sancionada a Lei 13.709/2018, que criou a Lei Geral de Proteção de Dados Pessoais, atualmente no seu período de vacância – contagem regressiva de 18 (dezoito) meses, até a sua eficácia plena –, as empresas brasileiras deverão se adaptar ao normativo, a fim de evitar as sanções administrativas e judiciais que certamente virão, principalmente a multa de 2% sobre o faturamento, limitada a R$ 50 milhões.

Nesse sentido, a maior preocupação nesse momento é conseguir fazer que as empresas entrem em conformidade com o tratamento dos dados que realiza. E, aqui, quando se fala em tratamento, entende-se a coleta, manipulação, guarda e todos os atos próprios definidos na LGPD, tanto do Controlador quanto do Processador. E, por favor, não apenas de dados digitais, mas físicos também.

A primeira providência é um levantamento exaustivo e minucioso de todos os dados que a empresa trata. Com essa perspectiva em mãos cria-se o horizonte do que será necessário ser feito para manter a proteção dos dados.

É aqui onde costumam aparecer as primeiras bandeiras vermelhas: os locais onde esses dados estão sendo armazenados são seguros (bancos de dados próprios, criptografados, offnet, comprometem o core business)? Quem cuida desses dados tem certificações necessárias para tal função? Se sim, maravilha; se não, o primeiro passo é parar tudo para estruturar isso.

Observe-se o quão importante é a junção do jurídico com TI/SI: um não anda sem o outro. Se um não faz o levantamento, o outro não visualiza riscos. Se um não sinaliza questões técnicas impeditivas, o outro não pode ser preditivo, e assim por diante.

A terceira red flag – e consideramos uma das mais importantes – está na ponta humana. Sem cultura de proteção a informação, sem educação para segurança, a empresa pode ter criptografia SHA6 (a mais forte existente) e ver o banco de dados inteiro da empresa ser vazado por um gestor com acesso a toda a cadeia de informações que usa a senha 12345.

Compliance digital e prevenção

Assim, os três pontos de atenção para o compliance digital na prevenção de fraudes por acesso/obtenção/vazamento de dados pessoais são segurança na coleta, infraestrutura de proteção, e cultura de educação dos funcionários, gestores, de preferência em efeito multiplicador.

A preocupação nesse sentido deve ser redobrada com a plena eficácia da LGPD, pois, além da pesada multa administrativa a ser aplicada pela futura agencia nacional de proteção de dados, a disposição do art. 42 da Lei 13.709, a responsabilidade civil do controlador ou processador de dados é objetiva, e, salvo melhor juízo, in re ipsa (da própria coisa – ou seja, o dano que existe pela própria ocorrência do fato).

E por que levantar toda essa preocupação? Quando falamos em compliance, parece ser meio “óbvio” dizer que alguém deve seguir as regras. Mas não se pode seguir regras sem antes estudar e avaliar o funcionamento de uma empresa. Desde entender a estrutura da organização e as suas principais brechas, até mapear todos os processos para que assim existam soluções eficazes e que estejam de acordo com a lei.

Hoje, a maior dificuldade em adotar uma boa prática de compliance é com relação à prevenção a fraudes, seja pela ausência de um conhecimento específico sobre as suas modalidades, ou também pela separação entre jurídico e TI/SI que existe hoje em muitas organizações.

Segundo o relatório global de fraude e risco 2017/2018, da líder mundial de gestão de risco e investigação corporativa Kroll, as fraudes cibernéticas só tendem a aumentar. Estima-se que 36% das fraudes aplicadas são direcionadas a infecção por softwares maliciosos, e 33% pela prática de phishing via e-mail, seguido por 27% de violação ou perda de dados de clientes.

O mesmo relatório, ao avaliar o Brasil, constatou que quase 90% dos empresários já informaram ter sido vítimas de fraude, o que preocupa ainda mais essa evidente vulnerabilidade que se demonstra. O principal alvo do fraudador é obter informações dos clientes e segredos industriais.

Perceba então, que por mais difícil que pareça ser cumprir a nova lei de proteção de dados, é evidente que as organizações estão diante de uma oportunidade para diminuir os incidentes que são ocasionados por fraude, e de certa forma, estão aplicando normas de compliance.

Quando falamos em fraude, podemos dividi-la em duas partes. Primeiro, o risco. A organização precisa possuir uma estratégia de gestão de risco para bloquear a atividade criminosa, e, consequentemente, impedir a atuação do agente. Isso porque pode, e provavelmente irá, acontecer um incidente fraudulento dentro de qualquer organização.

Segundo, e o ponto principal, a perda. Sem uma gestão eficiente de risco, a fraude ocasiona perda à empresa. Esta perda pode abranger: dados dos clientes e demais informações sigilosas da organização, bem como as finanças.

Dependendo do ataque sofrido, uma empresa poderá fechar as portas da noite para o dia, ou acham que em um ataque ransonware isso não acontece? Claro que sim. Além disso, um ataque desse tipo poderá ensejar a aplicação da multa citada, oriunda da LGPD, o que aprofundaria o prejuízo.

Não basta somente possuir ferramentas básicas de segurança. Quando se fala sobre gastos com prevenção, sabe-se que muitos gestores viram as costas ou dizem o famoso “nunca aconteceu comigo”. Não é verdade, há inúmeros estudos que comprovam o investimento em segurança como economia.

Pensou muito bem o legislador quando estipulou no artigo 46 da Lei nº 13.709/2018 uma dupla proteção de dados, pois atribuiu o tratamento sob os aspectos técnicos e administrativos, reforçando, mais uma vez, a necessidade de atuação em conjunto dos setores jurídico e TI/SI.

Compliance digital e LGPD

O Compliance deve se preocupar, neste tempo de vacância da LGPD, em como irá permitir que as organizações avaliem as ameaças já sofridas, os impactos dos incidentes sofridos e não foram bloqueados, bem como implementem todos os processos necessários que evitem ser alvo dos fraudadores.

Investimento e adoção de novas tecnologias, como o deep learning por exemplo, são eficazes para o combate das fraudes mais aplicadas atualmente, como os incidentes bancários.

Para muitos, a LGPD afeta consideravelmente o campo da segurança cibernética, mas será que essa nova Lei não será a nova aliada para reestruturar as empresas engessadas que existem hoje? E também ser a base necessária para as novas que estão por vir?

Nossos dados representam muito no “mercado negro”, e estar compliance é o mínimo que se espera.

Fernanda Tasinaffo

Especialista em Direito Digital. Advogada.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo