por  Rafael Fernandes Maciel, triatleta, advogado especialista em Direito Digital e Proteção de Dados Pessoais. CIPP/E (Certified Information Privacy Professional – Europe) e Autor do Livro Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais. ____________ No dia 23 de julho usuários dos serviços Garmin tiveram o acesso aos aplicativos interrompidos, ficando impedidos de sincronizarem suas atividades mediante aviso de que o sistema estava em manutenção. Apenas dias depois, no dia 27 de julho, a Garmin apresentou comunicado oficial confirmando as suspeitas de que teria sido alvo de um ataque ransomware. No comunicado, a Garmin informou não haver indícios de que “informações de consumidores, incluindo dados de pagamento do Garmin Pay, foram acessadas, roubadas ou perdidas”. Quando uma corporação recebe dados pessoais de uma pessoa o faz num regime de confiança. Eu, você e todos que usam a Garmin confiamos no seu serviço e, portanto, fornecemos nossos dados pessoais a ela em uma relação de fidúcia que deve ser nutrida continuamente, sobretudo pela transparência e zelo no tratamento dessas informações durante todo o ciclo de vida de tais dados, ainda que posterior ao fim da relação comercial. Visando proteger essa relação, as legislações de proteção de dados pessoais no mundo buscam equilibrar essa relação, a princípio conflituosa entre inovação e privacidade, norteando boas práticas para fortalecer esse elo de confiança. Esse episódio da Garmin trouxe algumas preocupações quanto à proteção dos dados pessoais, mormente por serem na sua maioria dados de saúde, considerados sensíveis pela legislação e de uso mais restrito. Quais os direitos das pessoas que possuem contas na Garmin? E quais as obrigações da empresa no tocante aos dados pessoais em casos de incidentes de segurança como o de ransomware? Primeiro é preciso explicar o que é um ataque ransomware ou “sequestro de dados”. Nessa modalidade de ataque cibernético, o criminoso criptografa o conteúdo digital da vítima, pedindo resgate para descriptografá-los mediante pagamento em moeda digital, como o Bitcoin. Nem sempre há remoção ou cópia do conteúdo na origem, sendo mais comum que a criptografia seja no ambiente informático da vítima sem que o atacante se preocupe em acessar os dados. O objetivo é extorquir e não capturar informação. O grau de criptografia utilizado pelos malwares (arquivo malicioso que permite a concretização do crime) mais recentes impede a reparação, sujeitando a empresa atacada à duas opções: 1) pagar o resgate (o que não é recomendado, seja pelo viés antiético e até criminoso, ou mesmo pela ausência de garantia de que o criminoso cumprirá com sua palavra); ou, 2) colocar em prática o plano de continuidade do negócio mediante restauração de backups.

\n \n

Em meio a toda essa dor de cabeça, exsurge outro problema quando em meio aos dados criptografados há informações pessoais, como no caso da Garmin. Isso porque tais dados não pertencem à empresa e sim aos seus usuários que possuem inúmeros direitos regulados por leis em todo o mundo inclusive, no Brasil, mais recentemente pela LGPD – Lei Geral de Proteção de Dados Pessoais, em vias de entrar em plena vigência, mas que já vem direcionando as boas práticas corporativas  no tocante à privacidade. Dentre tais direitos está o de impedir que os dados sejam acessados por terceiros sem autorização ou fora das hipóteses legais permitidas, bem como que os dados permaneçam íntegros, afinal de contas, a pessoa confiou aspectos de sua privacidade àquela empresa e essa deve respeitar suas escolhas e, lembrando mais uma vez: fazer valer a confiança a ela depositada. A primeira dificuldade na gestão dessa crise para uma empresa global como a Garmin é o fato de que ela trata dados de pessoas das mais variadas nacionalidades, estando sujeita a uma miríade de legislações. Qual legislação então seguir passa a ser a primeira pergunta quando da implementação de um programa de privacidade. As boas práticas de governança em privacidade recomendam a adoção da lei mais restritiva quando não for possível compatibilizá-las. No caso de incidente de segurança, entretanto, a regra é similar em todos países: verificar se houve comprometimento de dados pessoais e, em havendo, notificar os titulares o mais rápido possível (sendo na regulamentação europeia o prazo de 72 horas e, no Brasil, sem prazo predeterminado). Nesse ponto, o plano de resposta a incidentes deve estar documentado, implementado e com treinamento contínuo para que essa análise e as demais ações necessárias sejam tomadas de forma célere. Treina-se não apenas a equipe de incidentes, mas todos aqueles envolvidos em comunicação e, na era de redes sociais, todos os colaboradores devem ser orientados para que nada postem sobre o incidente que não seja previamente analisado pela equipe especializada para que o discurso seja uniforme e não gere desconfiança do público ou severas sanções das autoridades reguladoras. O primeiro ponto que parece ter falhado a Garmin fora a comunicação contraditória encontrada nas redes sociais a partir de perfis de funcionários. Enquanto uns e própria empresa dizia tratar-se de manutenção, funcionários já antecipavam o ataque criminoso, o que gerou até reportagens de que os dados pessoais dos usuários poderiam ter sido comprometidos. A Garmin apenas se manifestou no dia 27 de julho, quando assumiu ter sido vítima de um ataque de ransomware e dizendo não ter havido comprometimento de dados pessoais de seus usuários. Isso mesmo, um ataque dessa natureza não compromete necessariamente os dados pessoais, porquanto perícia técnica poderá identificar que não houve retirada de dados do ambiente da vítima. O plano de incidentes deve abranger essa verificação, como também a forma de comunicar ao público interno e externo pela organização. Na LGPD o dever de comunicação quando o incidente de segurança acarrete risco ou dano relevante aos titulares é de comunicação obrigatória (art. 48). Embora não defina o que é dano relevante ou risco, tem-se pelo exemplo do Regulamento Europeu, que o mesmo é quando o titular esteja sujeito a “limitação de seus direitos, a discriminação, a roubo ou usurpação de sua identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa”. As boas práticas em segurança da informação (ISO 27001) tornaram-se no tocante à proteção de dados pessoais mais do que uma guideline ou exigência comercial, refletindo também na exigência legal consubstanciada na implementação do programa de governança em privacidade para cumprimento dos princípios de segurança e prevenção previstos na LGPD. O programa de governança em privacidade possui regras próprias porquanto visa proteger dados pessoais e não dados diversos como um todo. A família ISO foi atualizada para essa necessidade com a edição da norma 27.701. Na LGPD, resta clara a necessidade de que conste no programa o plano de resposta a incidentes e remediação, como também:

1. a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
2. b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; 
3. c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
4. d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
5. e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

1. f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

1. g) conte com planos de resposta a incidentes e remediação;  

1. h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Seria prematuro acusar a empresa de ter sido lenta na resposta oficial, porquanto obviamente precisava entender a dimensão do ataque para ter certeza de que os dados pessoais não haviam sido comprometidos para somente então realizar o cumprimento do dever legal de comunicação, apenas obrigatório quando há violação de dados pessoais e, como dito, não se pode afirmar que um ataque de ransomware necessariamente compromete os dados pessoais. No entanto, a LGPD também prevê o dever de transparência justamente para garantir o elo de confiança nessa relação e, nesse ponto, houve falta de transparência seja pela demora ou pela comunicação contraditória, gerando apreensão aos usuários e acionistas. O que fica de lição nesse caso é que os dados pessoais não se tornam de propriedade da empresa quando optamos pela utilização de determinado serviço e, para que recebam a confiança do titular no tratamento, não só deve ser transparente com o que faz com os dados, como também de adotar programa de governança que cumpra os princípios da legislação e atenda os direitos dos titulares, evitando que incidentes de segurança possam afetar a reputação da empresa e afaste seus consumidores que, a cada dia, estão mais ávidos pelo controle de sua privacidade. por  Rafael Fernandes Maciel rafael@rafaelmaciel.com.br www.rafaelmaciel.com.br Triatleta, advogado especialista em Direito Digital e Proteção de Dados Pessoais. CIPP/E (Certified Information Privacy Professional – Europe) e Autor do Livro Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais.