O que os olhos não veem, a LGPD pega: pontos de atenção da lei para o Supply Chain

publicado 10/02/2020 11h09, última modificação 19/02/2020 16h26
São Paulo – Rodrigo Suzuki deu dicas de como se prevenir de ataques cibernéticos e imprevistos com a cadeia de fornecedores
Imagem-Ilustrativa-lgpd-supply-chain.jpg

Imagem ilustrativa

A cada dia que passa, as empresas estão mais perto de serem submetidas à nova Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto deste ano. E, quando se trata dela, todos os setores devem ficar atentos, inclusive o Supply Chain. O ditado popular ‘cada macaco no seu galho’ deve ser deixado de lado quando se trata dessa norma na cadeia de fornecedores. Pelo contrário: estão todos no mesmo barco.

Empresas com fornecedores que não seguirem a lei também poderão ser punidas. “O eventual vazamento ou a manipulação indevida desses dados sujeita tanto o prestador de serviço quanto a empresa às penalidades da lei”, afirma o Security Director da Logicalis na América Latina, Rodrigo Suzuki, palestrante do Comitê Estratégico de Supply Chain, no dia 31/01.

Isso porque quando a informação é solicitada, quem solicita se torna controlador daquele dado. Por isso, segundo Rodrigo, existe uma responsabilidade solidária. “Se a sua empresa decidiu contratar um terceiro ou terceirizar/transferir essa informação, a responsabilidade continua sendo dela e ela divide a responsabilidade com o terceiro que contratou”, pontua.

Assim, existem diferentes cuidados a serem tomados para fugir de imprevistos com fornecedores quando se trata da LGPD. Rodrigo lista os principais deles:

1) Questionamento, de maneira objetiva, das práticas para proteção de dados pessoais
2) Aplicação de questionários para saber quais controles os fornecedores possuem
3) Realizar verificações para saber se o que foi prometido em contrato é expresso no questionário e se realmente está sendo feito
4) Realizar testes de invasão ou auditorias para auxiliar a empresa e saber se os controles são efetivos

 

A CASA DA MÃE JOANA

Além dos cuidados com a cadeia de fornecedores, um protocolo a ser seguido pela empresa inteira é a cyber segurança. Não existem barreiras na internet, e isso pode ser interpretado tanto para o bem quanto para o mal. “Proteger a sua rede contra ataques cibernéticos é  talvez o mais importante a ser feito, porque hoje grandes empresas têm sofrido ataques que causam enormes perdas e podem chegar a destruí-las”, alerta Rodrigo, lembrando que muitos dos crimes cibernéticos têm finalidade financeira.

Ele avisa também que é possível que se inicie a prática da ‘extorsão de LGPD’, que constitui na ameaça da divulgação de dados de empresas obtidos por hackers antes da lei passar a valer e que, a partir do momento que ela entra em vigor, os criminosos solicitariam uma quantia de dinheiro (normalmente em moedas virtuais, como o bitcoin) em troca da não divulgação ou venda de informações pessoais para terceiros.

Segundo um estudo da consultoria de tecnologia Juniper Research, haverá um aumento de mais de 170% em ataques cibernéticos nos próximos cinco anos. Rodrigo conta que grandes empresas costumam sofrer milhares de tentativas de ataques cibernéticos por dia e, por isso, é preciso muita atenção para a prevenção desse tipo de problema. “Devemos fazer tudo que for possível para que a situação de risco não se materialize”, manifesta.

Para ele, é preciso olhar sob dois aspectos: a verificação dos controles internos e de controle de proteção de fora para dentro. Então, de dentro, as áreas de TI e as áreas de segurança devem proteger de maneira adequada os perímetros da empresa e seus servidores, evitando que ameaças externas tenham acesso ao ambiente. Essa proteção nem sempre é total, até porque todos os dias surgem novas ameaças e essas áreas precisam reagir de maneira rápida.

Portanto, uma constante verificação da presença de vulnerabilidades é uma das técnicas utilizadas para atestar que o ambiente está protegido. Isso do ponto de vista da empresa. Entretanto, é bastante comum hackers e pessoas mal intencionadas tentarem utilizar um funcionário distraído para ganhar acesso a empresa através de dispositivos pessoais de colaboradores, usando meios como e-mails maliciosos ou acesso a sites. Por isso, ele acredita que o treinamento e a conscientização dos colaboradores são fundamentais: “acho que isso é tão ou até mais importante do que a própria proteção da empresa”.

DIGA COM QUEM ANDAS QUE LHE DIREI QUEM ÉS

Se as empresas seguirem todos esses protocolos e, ainda assim, acontecer um vazamento de dados ou algum descumprimento da lei é possível a verificação, por parte da Agência Reguladora da LGPD, da infração. “Não necessariamente a empresa será multada se isso acontecer: a Agência Nacional deve decidir como esses casos serão tratados, criando, assim, jurisprudência para casos similares. Com o passar do tempo, nós saberemos como isso vai ser tratado”, explica Rodrigo.

Entretanto, já existe a delegacia de crimes virtuais que trata desse assunto se for um caso de crime como invasões por hackers, mas o princípio da imprudência, imperícia e negligência se aplica nessas situações. Na Europa, por exemplo, se há um vazamento ou uma manipulação indevida de dados, a agência europeia vai analisar se a empresa tinha bons controles de segurança, capacitação e monitoramento e esses pontos podem ser atenuantes para multa ou até ser convertido apenas em uma advertência. Se a agência descobre que a empresa não tem bons controles, falta de treinamento e outros fatores, isso se torna um agravante que pode até aumentar o valor da multa, segundo Rodrigo. “Isso é bem semelhante ao compliance. Na verdade, a LGPD acaba sendo mais um item de compliance”, finaliza.

A PRÁTICA LEVA À PERFEIÇÃO

Quer saber mais sobre LGPD e se preparar para evitar ataques cibernéticos? Participe do nosso PACE “LGPD na prática: os desafios para a concretização da nova lei”, no dia 15/04, das 08h às 17h. O treinamento será ministrado pelos sócios do escritório de advocacia Pinhão e Koiffman Advogados.

Este PACE é um roadmap para estruturação e atualização da sua empresa, apresentado por quem é destaque no assunto. As inscrições estão abertas. Clique aqui e saiba mais.

 

O QUE SÃO OS PACES?

São programas executivos com formato dinâmico e pragmático, buscando a atualização e o desenvolvimento através de conteúdo teórico, cases práticos e troca de experiências. As escolhas das temáticas acompanham tendências de mercado e demandas dos sócios, muitas vezes como desdobramento de discussões em outras atividades da Amcham. Temas como Liderança, Excelência em Atendimento,  Negociação e Inteligência Emocional são os mais presentes no calendário anual.

PARA QUEM SÃO?

Para sócios e não sócios que tenham interesse no tema. Curso pago, com valor competitivo e também ofertado na versão ‘In Company’.

COMO FUNCIONAM?

Geralmente são de curta duração, mas podem ter formatos mais extensos, envolvendo uma agenda de encontros em diferentes dias e com diferentes facilitadores.

 

O QUE SÃO OS COMITÊS ESTRATÉGICOS?

São encontros periódicos e limitados a um grupo de até 30 executivos, compartilham informações e visões sobre os seus negócios.

PARA QUEM SÃO?

Os encontros são segmentados por posição ou áreas funcionais da alta liderança, com limite de participantes e são exclusivos para sócios da Amcham.

COMO FUNCIONAM?

Funcionam em formato de round table ou com a participação de speakers especiais (autoridades ou especialistas) com duração de até duas horas.

Não deixe de conferir nossos eventos sobre LGPD no calendário completo. Clique aqui e acesse.