As violações de segurança prejudicam a reputação das empresas

Durante 2019, mais de vinte milhões de comunicações de violações de segurança foram feitas diretamente pelos responsáveis pelo tratamento estabelecidos em Espanha aos titulares dos dados. Esta comunicação proactiva por parte dos responsáveis pelo tratamento de dados mostra como é importante para eles gerir adequadamente as violações de segurança, a fim de cumprir a transferência e, consequentemente, manter a confiança dos clientes no produto ou serviço fornecido pelas empresas, Para o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, define genericamente "violações da segurança dos dados pessoais" como"qualquer violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda ou a alteração de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, ou a divulgação ou o acesso, não autorizados, a esses dados". É de notar que, embora todas as violações de dados pessoais sejam incidentes de segurança, nem todos os incidentes de segurança são necessariamente violações de dados pessoais. Quando ocorre uma violação de segurança, o responsável pelo tratamento deve pôr em prática um plano de ação para minimizar e evitar outras consequências. Se a violação de segurança constituir um risco para os direitos e liberdades das pessoas singulares, a Agência Espanhola de Proteção de Dados (AEPD) deve ser notificada no prazo de 72 horas após ter tido conhecimento da mesma. Quando a violação de segurança puder implicar um risco elevado para os direitos e liberdades das pessoas em causa, o responsável pelo tratamento deve notificar as pessoas afectadas, sem demora injustificada, da violação de segurança ocorrida. Esta comunicação deve ser feita após uma análise prévia, avaliando se a comunicação às pessoas em causa não compromete o resultado de uma investigação em curso; esta comunicação pode ser adiada sob o controlo da autoridade de controlo. A comunicação às pessoas em causa deve ser feita o mais rapidamente possível, em linguagem clara e simples e sempre em estreita cooperação com a autoridade de controlo. O objetivo desta obrigação é eliminar a opacidade com que, por vezes, algumas organizações trataram as violações de segurança, o que pode ter causado um risco muito elevado para as pessoas afectadas, uma vez que não foram informadas e não puderam adotar as medidas necessárias para se protegerem. Um exemplo de falta de transparência foi o ataque sofrido por um operador telefónico em 2014, que afectou mais de 500 milhões de utilizadores, que só tiveram conhecimento da exposição dos seus dados pessoais em 2016, ou seja, dois anos depois. A gestão inadequada das violações de segurança prejudica a reputação das empresas, uma vez que estas não dispõem de políticas internas que promovam a implementação de modelos de gestão e governação de dados eficazes e diligentes. Uma atuação adequada em caso de violação de segurança pode ser diretamente benéfica para o responsável pelo tratamento dos dados, não só pelo cumprimento das obrigações legais, mas também pelo impacto na reputação da empresa, como a perda de confiança por parte dos clientes.Hoje em dia, a reputação corporativa é um ativo cada vez mais importante dentro das organizações, como instrumento de criação de confiança e fidelização dos seus produtos ou serviços, num ambiente marcadamente competitivo. Estamos perante um ativo intangível, que não aparece na demonstração de resultados da empresa, mas cada vez mais empresas estão conscientes de que a reputação tem um impacto económico direto.Por tudo isto, a implementação de um protocolo de violação de segurança nas organizações, juntamente com o desenvolvimento de políticas internas, a implementação de medidas de segurança adequadas, incluindo os sistemas de deteção e análise de intrusão necessários para proteger os dados dos indivíduos e a informação privada da empresa, bem como a criação de mecanismos de prevenção de ataques informáticos, reduz consideravelmente a ocorrência de violações de segurança nas organizações. No entanto, na eventualidade de uma violação deste tipo, tendo em conta o acima exposto, seria possível atuar de forma mais célere e rápida, evitando os consequentes danos reputacionais.

Guadalupe Tejela (Advogada T&L)