A LGPD e o Risco do Ransomhack
A LGPD – Lei Geral de Proteção de Dados Pessoais entrou em vigor hoje, 18/09/2020. Depois de muita discussão, adiamentos e alterações, a Lei foi sancionada pela Presidência da República e começa a valer.
Pontos importantes a serem considerados:
– A ANPD – Agência Nacional de Proteção de Dados ainda não foi totalmente constituída. Ela será uma agência subordinada à Casa Civil. Portanto, está no mesmo guarda-chuva da Presidência da República. No último mês, muito se discutiu sobre a possibilidade desta agência ter independência da Presidência, o que seria benéfico do ponto de vista da neutralidade e transparência, uma vez que não teria que prestar contas diretamente à Casa Civil.
– O início das sanções e punições pela ANPD será em agosto de 2021, o que significa que as multas que a agência for aplicar só terão efeito a partir desta data. No entanto, a Lei já pode ser usada pelos Tribunais de Justiça e o Ministério Público, independente da ação da ANPD. Desta forma, por meios jurídicos, algumas punições pelo não cumprimento da Lei já podem ser aplicadas.
Mas é importante destacar um ponto que torna a entrada em vigor da LGPD perigosa para muitas empresas: Com a Lei em vigor, é criado um novo campo de atuação para os Criminosos Virtuais, chamado de Ransomhack.
Para contextualizar esse problema, vamos dar um exemplo: Um Criminoso Virtual consegue invadir os arquivos com dados pessoais de uma empresa e rouba esses arquivos. Em seguida, o Criminoso entra em contato com o DPO (Encarregado de Dados) da empresa invadida e faz a seguinte proposta:
“Eu roubei os arquivos com registros pessoais da sua empresa. Se eu denunciar esse vazamento de dados para a ANPD, ela poderá te aplicar uma multa pesada, de até R$50 milhões por registro vazado. Eu tenho uma proposta: Me pague R$5 milhões em criptomoedas e eu devolvo os dados e não faço a denúncia. Vai sair mais barato para a sua empresa e não vai manchar a sua reputação digital.”
Situações como essa fatalmente irão ocorrer nos próximos anos. E, para que uma empresa não sofra esse tipo de chantagem, é preciso estar organizada desde já, investindo preventivamente em tecnologias que impeçam a invasão por criminosos virtuais, ter um time de cibersegurança treinado e pronto para lidar com ameaças como essa e, principalmente, ter uma estratégia de proteção dos dados que impeça a divulgação dos dados, mesmo que sejam hackeados.
Almir Meira Alves
Cyber Training Officer na CECyber
Diante de um dilema como esse, como fica a situação do DPO? E da empresa?
Situações como essa fatalmente irão ocorrer nos próximos anos. E, para que uma empresa não sofra esse tipo de chantagem, é preciso estar organizada desde já, investindo preventivamente em tecnologias que impeçam a invasão por criminosos virtuais, ter um time de cibersegurança treinado e pronto para lidar com ameaças como essa e, principalmente, ter uma estratégia de proteção dos dados que impeça a divulgação dos dados, mesmo que sejam hackeados.
Almir Meira Alves
Cyber Training Officer na CECyber
Comments are closed.