O que não fazer após um vazamento de dados no seu negócio

Vazamento de Dados: Passar pela situação de um vazamento de dados é uma das situações mais inconvenientes e perigosas à credibilidade de qualquer empresa. Esse tipo de situação deixa o sistema da empresa e os usuários vulneráveis a diversos golpes. Porém, é algo que acontece com mais frequência do que imaginamos, sendo necessário então que toda empresa saiba o que fazer neste caso.

Existe todo um protocolo que deve ser seguido pela empresa vitimada por esse tipo de invasão nos seus sistemas. E se esse protocolo não for seguido corretamente, poderá resultar em sanções severas por descumprimento da Lei Geral de Proteção de Dados.

Muitas empresas metem os pés pelas mãos quando precisam lidar com uma situação dessas, ao tentar, muitas vezes, encobrir o incidente na tentativa de que ele passe despercebido.

Mas escândalos como o da Amazon mostram que as leis que regulamentam o cenário de privacidade e proteção de dados pessoais, definitivamente, não estão para brincadeira.

Onde as empresas costumam errar nesse tipo de situação?

É importante que as empresas saibam como proceder, assim como é importante que saibam o que não deve ser feito, de forma a minimizar os prejuízos.

Para auxiliar nisso, vamos listar os maiores erros que as empresas cometem quando têm seus sistemas invadidos e seus dados pessoais expostos.

• Não fornecer um treinamento adequado aos seus colaboradores de forma que se possua uma maior sincronia entre a equipe e seus líderes, inibindo ações que visem ocultar o incidente;
• Não realizam a alteração das senhas, que seria a ação adequada à contenção do vazamento;
• Não mensuram o impacto do incidente de forma adequada: em casos de vazamento de dados, o correto é que a empresa paralise os sistemas afetados, sem no entanto desligá-lo – sob o risco de que se percam os registros do corrido -, entenda onde e quando o incidente se deu e entenda, principalmente quais dados foram comprometidos.
• Não informam todos os setores da empresa e nem os usuários afetados com receio de que isso resulte em maiores problemas;
• Evitam fazer comunicados públicos até serem descobertos.

O procedimento correto em casos de vazamento de dados envolve a comunicação do incidente ao DPO da empresa, à ANPD e aos titulares dos dados pessoais envolvidos.

Além disso, esse comunicado deve ser feito, preferencialmente, em dois dias úteis da descoberta do incidente.

Importante ressaltar que a ANPD disponibiliza em seu site detalhes sobre as informações que devem ser enviadas, como contato da empresa responsável pelo tratamento e do DPO, além de exigir no formulário online informações como data e hora do ocorrido, as circunstâncias do incidente, descrição dos dados pessoais como sua natureza, categoria e quantos dados foram vazados, todas as possíveis consequências e principalmente, as medidas que serão tomadas na resolução da questão.

A LGPD impõe sanções para as irregularidades que vão de advertência, multa de até 2% do faturamento da empresa limitada, no total, a R$ 50 milhões por infração, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização,  eliminação dos dados pessoais relacionados à infração ou até mesmo suspensão parcial do funcionamento do banco de dados relacionado à infração.

Em um cenário onde os vazamentos de dados são cada vez mais comuns, é crucial que as empresas adotem uma postura proativa e estratégica para lidar com tais incidentes. Seguir o protocolo correto, comunicar rapidamente as partes envolvidas e tomar medidas de contenção adequadas são ações fundamentais para mitigar os danos e cumprir as exigências da Lei Geral de Proteção de Dados (LGPD).

Ignorar ou tentar ocultar o problema apenas aumenta os riscos, prejudicando ainda mais a imagem da empresa e sujeitando-a a sanções severas. Portanto, a transparência, o treinamento adequado das equipes e o monitoramento constante dos sistemas são passos essenciais para prevenir e, caso necessário, lidar com vazamentos de dados de forma eficiente. A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma forma de proteger a confiança de seus clientes e a reputação da empresa no mercado.