Violações de segurança prejudicam a reputação de uma empresa

Durante o ano de 2019, mais de vinte milhões de comunicações de violação de segurança foram feitas diretamente de gestores estabelecidos em Espanha às partes interessadas. Esta comunicação proativa dos controladores de dados mostra a importância para eles de gerir adequadamente as falhas de segurança, como o cumprimento da transferência, e como resultado, manter a confiança do cliente no produto ou serviço prestado pelas empresas. Mas o que se entende por uma violação de segurança? , para o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, define amplamente “violações de segurança de dados pessoais” como”todas as violações de segurança que resultem na destruição, perda ou alteração acidental ou ilegal de dados pessoais transmitidos, armazenados ou processados de outra forma, ou na comunicação ou acesso não automatizado a esses dados”. Note-se que, embora todas as violações de dados pessoais sejam incidentes de segurança, nem todos os incidentes de segurança são necessariamente violações de dados pessoais. Quando ocorre uma violação de segurança, o controlador de dados deve implementar um plano de ação para minimizar e evitar outras consequências. Se a violação de segurança constituir um risco para os direitos e liberdades dos indivíduos, a Agência Espanhola de Proteção de Dados (AEPD) deve ser notificada no prazo máximo de 72 horas após ter tido conhecimento da mesma. Quando a violação de segurança possa representar um risco elevado para os direitos e liberdades dos titulares dos dados, o responsável pelo tratamento deve informar os afetados, sem demora injustificada, da violação de segurança ocorrida. Esta comunicação será feita após a realização de uma análise prévia, avaliando que a comunicação aos afetados não compromete o resultado de uma investigação em curso; tal comunicação poderá sempre ser adiada sob a supervisão da autoridade de supervisão. A comunicação às pessoas afectadas será feita o mais rapidamente possível, numa linguagem clara e simples e sempre em estreita cooperação com a autoridade de controlo. O objetivo desta obrigação é eliminar a opacidade com que, por vezes, têm sido abordadas falhas de segurança por algumas organizações, que têm conseguido causar um risco muito elevado aos afetados, uma vez que não foram informadas e não conseguiram adotar as medidas necessárias para se protegerem. Um exemplo de falta de transparência foi o ataque sofrido por um teleoperador em 2014 que afetou mais de 500 milhões de utilizadores, que não tinham conhecimento da exposição dos seus dados pessoais até 2016, ou seja, estamos a falar de dois anos depois. A gestão inadequada das falhas de segurança causa danos à reputação das empresas, uma vez que não existem políticas internas que promovam a implementação de modelos eficazes e diligentes de gestão e governança de dados. Uma ação adequada face a uma falha de segurança pode trazer um benefício direto para o controlador de dados, não só pelo cumprimento de obrigações legais, mas também pelo impacto na reputação da empresa, como a perda de confiança por parte dos clientes. Hoje em dia, a reputação corporativa é um ativo cada vez mais importante dentro das organizações enquanto instrumento que cria confiança e lealdade nos seus produtos ou serviços, num ambiente marcadamente competitivo. Estamos a lidar com um ativo intangível, que não aparece no “lucro e prejuízo” da empresa, mas cada vez mais as empresas têm consciência de que a reputação tem um impacto económico direto. Por tudo isso, a implementação de um protocolo de violação de segurança dentro das organizações, juntamente com o desenvolvimento de políticas internas, a implementação de medidas de segurança adequadas, incluindo os necessários sistemas de detecção e análise de intrusão que permitam a proteção dos dados privados e da informação privada da empresa, bem como o estabelecimento de mecanismos para prevenir ataques informáticos, reduz consideravelmente a ocorrência de falhas de segurança dentro das organizações. Mas se isso acontecesse, tendo em conta o acima exposto, poderiam ser tomadas medidas de forma mais rápida e rápida, evitando os consequentes danos reputacionais.

Guadalupe Tejela (Advogado T&L)