Por Flávio Caetano de Paula Maimone
Os ataques cibernéticos são cada vez mais veiculados na imprensa, inclusive os chamados ransomware. Recentemente, um desses ataques chamou atenção pelo nível utilizado em sua extorsão e na concretização das ameaças presentes no crime.
“O grupo de ransomware ALPHV/BlackCat levou a extorsão a um novo nível ao apresentar uma queixa à Comissão de Valores Mobiliários (SEC) dos EUA contra uma de suas supostas vítimas por não cumprir a exigência de que ataques cibernéticos devem ser comunicados ao órgão em até quatro dias.
A gangue BlackCat listou a fornecedora de software MeridianLink em seu vazamento de dados com a ameaça de que vazaria dados supostamente roubados da empresa, a menos que um resgate fosse pago em 24 horas. A MeridianLink é uma companhia de capital aberto que fornece soluções digitais para organizações financeiras, como bancos, cooperativas de crédito e credores hipotecários”. (Ciso Advisor).
Ataques cibernéticos no Brasil
Como se observa na reportagem, houve um incidente de segurança em uma empresa nos Estados Unidos, com vazamento de dados. No Brasil, a Lei Geral de Proteção de Dados Pessoais exige que incidentes dessa natureza sejam comunicados tanto à autoridade nacional quanto aos titulares de dados cujo vazamento os atingiu. Ademais, no próprio plano de governança e compliance das empresas deve haver planos de resposta a incidentes de segurança além da necessária remediação do incidente (Artigo 50, § 2º, Inciso I, alínea “g” da LGPD).
Nota-se que esse comunicado se assemelha ao Recall ou chamamento previsto no Código de Defesa do Consumidor. Com efeito, o dever de comunicar a Autoridade Nacional e também os consumidores procura impor à empresa vítima de incidente que informe as pessoas cujos dados foram vazados para que cada uma delas saiba que seus dados (e quais) foram atingidos, permitindo-lhe medidas para mitigar os danos daí advindos. Rememora-se que entre dados vazados, podem se encontrar até senhas. Nesse caso, o comunicado ao titular do dado pessoal permite a troca da senha.
Mas, além disso, a comunicação permite – potencialmente – ao consumidor que se proteja de eventuais golpes ligados ao vazamento de dados.
Portanto, acreditamos que os consumidores devam passar a observar e acompanhar os vazamentos de dados, acompanhar as posturas de empresas com vazamentos de dados, se relatam ou não os incidentes de segurança, preferindo aquelas que se adequam à LGPD que dá instrumentos relacionados ao aqui narrado.
Flávio Henrique Caetano de Paula Maimone
Advogado especialista em Direito do Consumidor, sócio do Escritório de advocacia e consultoria Caetano de Paula & Spigai | Sócio fundador da @varbusinessbeyond consultoria e mentoria em LGPD. Doutorando e Mestre em Direito Negocial com ênfase em Responsabilidade Civil na Universidade Estadual de Londrina (UEL). Diretor do Instituto Brasileiro de Política e Direito do Consumidor (BRASILCON). Associado Titular do IBERC (Instituto Brasileiro de Estudos de Responsabilidade Civil). Professor convidado de Pós Graduação em Direito Empresarial da UEL. Autor do livro “Responsabilidade civil na LGPD: efetividade na proteção de dados pessoais”. Colunista do Jornal O Londrinense. Instagram: @flaviohcpaula
Foto: Image by DCStudio on Freepik
Leia mais colunas sobre Direito do Consumidor
(*) O conteúdo das colunas não reflete, necessariamente, a opinião do O LONDRINENSE.