Dia do consumidor, dados pessoais e ransomware.

0
0

No dia em que o comércio celebra
o consumidor, é momento também para refletirmos como estamos tratando-o não
apenas nas relações de atendimento, mas sobretudo na proteção de seus dados pessoais
em ambiente digital. Não é mais novidade que as empresas, passaram a utilizar o
meio informático para coletar e tratar os dados pessoais de seus clientes, sejam
elas nativas digitais ou não. Os dados em meio informático não apenas
representam uma redução no custo de armazenamento e uma maior agilidade na busca
por informações, como são utilizados para traçar perfis de consumo e definir
estratégias de marketing. Os dados pessoais dos clientes passam a integrar o
patrimônio da empresa e de forma bastante representativa, tornando-se diferencial
de competitividade.

Embora a percepção de tais
vantagens esteja bastante difundida (seu potencial, entretanto, ainda
subutilizado), há pouco investimento em segurança da informação pelas empresas,
que ficam sujeitas a perder esse importante ativo ou mesmo verem-se
responsabilizadas em processos judiciais em caso de mau uso ou vazamentos.

A ameaça há muito deixou de ser
algo hollywoodiano.

A mais frequente tem sido o
ataque com criptografia de dados, o chamado “ransomware”, pelo qual o arquivo
malicioso (“malware”) criptografa os dados e somente é possível acessá-los
novamente descriptografando-os com a chave correta, apenas fornecida mediante o
pagamento de um resgate. Em 2016, a ocorrência de “ransomware” em empresas
cresceu mais de três vezes, saindo de um ataque a cada 2 minutos para um a cada
40 segundos. Também deixou de ser algo voltado para grandes corporações, tendo
as pequenas e médias empresas tornado-se alvo favorito, porquanto tradicionalmente
pouco investem em segurança e redundância dos dados e, por essa razão, ficam
mais sujeitas ao pagamento do resgate. No entanto, outro dado estatístico
demonstra que uma em cada cinco PMEs que pagou o resgate nunca recebeu os dados
de volta.

Identificado o ataque, pouco ou
nada há para se fazer, visto que são inúteis a grande maioria das soluções ofertadas.
A prevenção é o principal remédio e passa necessariamente pela definição de um
política robusta de segurança da informação e treinamento. Os malwares que
contaminam os computadores ingressam na corporação, na sua grande maioria, por
falhas humanas, sendo crucial investir também em treinamento dos colaboradores,
cientificando-o dos riscos e aditando os contratos de trabalho ou os regimentos
internos, de forma a permitir também uma demissão por justa causa em caso de
mau procedimento do colaborador.

O investimento em segurança da
informação e treinamento é necessário também para adequar a coleta e tratamento
dos dados pessoais às normas vigentes (Lei nº 12.965/14, Código Consumidor,
Decreto nº 7.962/13 e Decreto nº 8.771/16), sobretudo quando em comércio eletrônico,
fortalecendo os contratos eletrônicos e as políticas de privacidade. Em caso de
vazamentos de tais informações pessoais, a empresa poderá ser demandada pelos
consumidores pleiteando indenização ou ficar sujeita a sanções administrativas.