Você tem garantias e direitos, portanto, conte com o seu Advogado de confiança para defendê-lo (a)
Notícias
Artigos
Compliance Digital e Fraudes - onde estão as Red Flags - 21/09/2018
Compliance Digital e Fraudes - onde estão as Red Flags (Como em 14 de agosto último foi sancionada a Lei 13.709/2018, que criou a Lei Geral de Proteção de Dados Pessoais, atualmente no seu período de vacância – contagem regressiva de 18 (dezoito) meses, até a sua eficácia plena –, as empresas brasileiras deverão se adaptar ao normativo, a fim de evitar as sanções administrativas e judiciais que certamente virão, principalmente a multa de 2% sobre o faturamento, limitada a R$ 50 milhões; Nesse sentido, a maior preocupação nesse momento é conseguir fazer que as empresas entrem em conformidade com o tratamento dos dados que realiza. E, aqui, quando se fala em tratamento, entende-se a coleta, manipulação, guarda e todos os atos próprios definidos na LGPD, tanto do Controlador quanto do Processador. E, por favor, não apenas de dados digitais, mas físicos também; A primeira providência é um levantamento exaustivo e minucioso de todos os dados que a empresa trata. Com essa perspectiva em mãos cria-se o horizonte do que será necessário ser feito para manter a proteção dos dados; É aqui onde costumam aparecer as primeiras bandeiras vermelhas: os locais onde esses dados estão sendo armazenados são seguros (bancos de dados próprios, criptografados, offnet, comprometem o core business)? Quem cuida desses dados tem certificações necessárias para tal função? Se sim, maravilha; se não, o primeiro passo é parar tudo para estruturar isso; Observe-se o quão importante é a junção do jurídico com TI/SI: um não anda sem o outro. Se um não faz o levantamento, o outro não visualiza riscos. Se um não sinaliza questões técnicas impeditivas, o outro não pode ser preditivo, e assim por diante; A terceira red flag – e consideramos uma das mais importantes – está na ponta humana. Sem cultura de proteção a informação, sem educação para segurança, a empresa pode ter criptografia SHA6 (a mais forte existente) e ver o banco de dados inteiro da empresa ser vazado por um gestor com acesso a toda a cadeia de informações que usa a senha 12345; Assim, os três pontos de atenção para o compliance digital na prevenção de fraudes por acesso/obtenção/vazamento de dados pessoais são segurança na coleta, infraestrutura de proteção, e cultura de educação dos funcionários, gestores, de preferência em efeito multiplicador; A preocupação nesse sentido deve ser redobrada com a plena eficácia da LGPD, pois, além da pesada multa administrativa a ser aplicada pela futura agencia nacional de proteção de dados, a disposição do Art. 42 da Lei 13.709, a responsabilidade civil do controlador ou processador de dados é objetiva, e, salvo melhor juízo, in re ipsa (da própria coisa – ou seja, o dano que existe pela própria ocorrência do fato); E por que levantar toda essa preocupação? Quando falamos em compliance, parece ser meio “óbvio” dizer que alguém deve seguir as regras. Mas não se pode seguir regras sem antes estudar e avaliar o funcionamento de uma empresa. Desde entender a estrutura da organização e as suas principais brechas, até mapear todos os processos para que assim existam soluções eficazes e que estejam de acordo com a lei; Hoje, a maior dificuldade em adotar uma boa prática de compliance é com relação à prevenção a fraudes, seja pela ausência de um conhecimento específico sobre as suas modalidades, ou também pela separação entre jurídico e TI/SI que existe hoje em muitas organizações; Quando falamos em fraude, podemos dividi-la em duas partes. Primeiro, o risco. A organização precisa possuir uma estratégia de gestão de risco para bloquear a atividade criminosa, e, consequentemente, impedir a atuação do agente. Isso porque pode, e provavelmente irá, acontecer um incidente fraudulento dentro de qualquer organização; Segundo, e o ponto principal, a perda. Sem uma gestão eficiente de risco, a fraude ocasiona perda à empresa. Esta perda pode abranger: dados dos clientes e demais informações sigilosas da organização, bem como as finanças; Dependendo do ataque sofrido, uma empresa poderá fechar as portas da noite para o dia, ou acham que em um ataque ransonware isso não acontece? Claro que sim. Além disso, um ataque desse tipo poderá ensejar a aplicação da multa citada, oriunda da LGPD, o que aprofundaria o prejuízo; Não basta somente possuir ferramentas básicas de segurança. Quando se fala sobre gastos com prevenção, sabe-se que muitos gestores viram as costas ou dizem o famoso “nunca aconteceu comigo”. Não é verdade, há inúmeros estudos que comprovam o investimento em segurança como economia; Pensou muito bem o legislador quando estipulou no artigo 46 da Lei nº 13.709/2018 uma dupla proteção de dados, pois atribuiu o tratamento sob os aspectos técnicos e administrativos, reforçando, mais uma vez, a necessidade de atuação em conjunto dos setores jurídico e TI/SI; O Compliance deve se preocupar, neste tempo de vacância da LGPD, em como irá permitir que as organizações avaliem as ameaças já sofridas, os impactos dos incidentes sofridos e não foram bloqueados, bem como implementem todos os processos necessários que evitem ser alvo dos fraudadores; Investimento e adoção de novas tecnologias, como o deep learning por exemplo, são eficazes para o combate das fraudes mais aplicadas atualmente, como os incidentes bancários; Para muitos, a LGPD afeta consideravelmente o campo da segurança cibernética, mas será que essa nova Lei não será a nova aliada para reestruturar as empresas engessadas que existem hoje? E também ser a base necessária para as novas que estão por vir?) https://canalcienciascriminais.com.br/compliance-digital-red-flags/
Autor: Mattosinho Advocacia Criminal
Contate-nos
Sede do escritório
Rodovia Transamazônica 20
- Novo Horizonte
- Pacajá / PA
- CEP: 68485-000
+55 (91) 991040449+55 (91) 37981042
© 2024 Todos os direitos reservados - Certificado e desenvolvido pelo PROMAD - Programa Nacional de Modernização da Advocacia
