Com o desenvolvimento cada vez mais acelerado das tecnologias de informação e comunicação e o consequente desenvolvimento de uma economia informacional[1] cada vez mais preponderante, é natural que surjam, diariamente, mais e mais demandas de coleta e processamento de dados e, por conseguinte, preocupações para o estabelecimento de formas seguras de tratamento e disponibilização dessas informações.

​

     Neste contexto, estabelecer um ambiente seguro de utilização, processamento e compartilhamento de dados, sejam eles dados governamentais, empresariais ou mesmo dados pessoais, é uma preocupação crescente tanto no setor público quanto no setor privado.

​

     Surgem, então, diversas estratégias, tecnologias e serviços que buscam envolver nossos aparatos tecnológicos em uma camada de proteção forte o suficiente para evitar o acesso não autorizados ou disponibilização indesejada dessas informações.

​

     Ocorre que muitas vezes esquecemos um fator que vem se provando capital para o estabelecimento de sistemas de proteção de dados verdadeiramente efetivos: o fator humano!

​

     Pesquisas vêm mostrando, reiteradamente, que uma parcela significativa de incidentes de dados – que podem envolver vazamentos não intencionais de dados até ataques cibernéticos de agentes criminosos – ocorrem por culpa ou por exploração de vulnerabilidades ocasionadas por humanos.

​

     Em 2024, a Verizon[2] publicou um relatório de investigações de incidentes de vazamentos de dados e apontou que entre as principais vulnerabilidades exploradas, aquelas envolvendo atividade humana estão em destaque.

 

     Entre os principais erros humanos que desencadeiam incidentes de dados, seja possibilitando a perda ou a exploração indevida/ilegal de informações, temos a exploração de engenharia social, descoberta de senhas de baixa complexidade ou a utilização de credenciais, físicas ou digitais, que são deixadas sem o devido cuidado.

 

     Esses achados destacam a importância das organizações, independente do tamanho, investirem no treinamento de seu pessoal, em todas as funções da empresa, especialmente nesse momento de digitalização quase que total das nossas atividades.

​

Primeiro passo: a identificação dos dados pessoais tratados pelas empresas

 

     Quando falamos de compliance digital, especialmente na perspectiva de tomada de atitudes que diminuam o risco de demandas jurídicas por conta de vazamento ou mau uso de recursos digitais, ganha ainda mais importância o esclarecimento de três elementos essenciais: quais são as atividades digitais da minha empresa; quem está envolvido nessas atividades; como essas pessoas envolvidas estão capacitadas para lidar com essa nova realidade.

 

     Apesar de parecer uma preocupação natural, muitas empresas sequer possuem um entendimento completo de quais das suas atividades produzem dados e quais destes dados demandam a implantação de estratégias de segurança e treinamento específico de seu pessoal.

 

     É comum que essas preocupações se atenham a questões burocráticas, como formulários, fichas, dados cadastrais, etc. Mas devemos nos atentar que outras informações são comumente digitalizadas e necessitam do mesmo cuidados, ou mesmo uma atenção ainda maior.

 

     É o caso, por exemplo, de publicações em redes sociais institucionais, que muitas vezes fazem uso de dados de clientes e membros da instituição sem, sequer, haver a coleta expressa da concordância ou, em alguns graves casos, a comunicação de que esses dados serão coletados e utilizados como publicidade empresarial.

​

     Há ainda situações em que as empresas requerem que os seus empregados utilizem equipamentos pessoais, com destaque para os smartphones, para coleta de imagens que serão utilizadas para publicidade institucional, equipamentos estes que, dada sua própria natureza, são fontes comuns de vulnerabilidades para a segurança digital.

​

     Faz-se necessário, portanto, que todas as controladoras de dados, ou seja, aqueles agentes, públicos ou privados, que realizam a coleta e o tratamento de dados pessoais, se atentem, inicialmente, a identificar todos os dados pessoais que suas atividades realizam o tratamento, para só então, de forma específica, iniciar os processos de planejamento de proteção.

​

Importância do treinamento do pessoal para lidar com o mundo digital

 

     Naturalmente, todas as atividades empresariais realizadas sejam por sócios, administradores ou mesmo por seus funcionários e colaboradores, deverão ser devidamente planejadas e, a fim de alcançarmos a excelência, treinadas por todos os envolvidos.

 

     Essa necessidade de planejamento ganha especial contorno quando falamos de segurança digital, haja vista a velocidade com que o setor evolui, incluindo as ameaças.

​

     Nunca é demais relembrarmos que a minoria dos profissionais envolvidos nas atividades de uma empresa são experts em segurança digital. Ao contrário, a maioria dos utilizadores de recursos digitais acabam por se preocupar apenas com a realização das suas atividades cotidianas, expondo, com bastante frequência, os seus equipamentos, e aqueles utilizados em sua atividade laboral, a riscos significativos.

 

     Destaque-se que a legislação do setor, com ênfase para a LGPD, é bastante clara ao determinar que a responsabilidade por incidentes de segurança de dados, e os danos causados por estes, é sempre do controlador, havendo a possibilidade de responsabilização judicial da pessoa física responsável diretamente pela falha de segurança apenas em caso de uma ação dolosa.

 

     A capacitação dos funcionários e colaboradores no que diz respeito a segurança digital, portanto, é imperativa para a própria proteção da empresa privada ou de uma instituição pública, devendo ser realizada por profissional capacitado e de acordo com as atividades específicas de cada setor. Não faz sentido um treinamento de segurança digital genérico, sem a identificação das vulnerabilidades próprias de cada atividade.

 

     Temos visto uma crescente de incidentes digitais, com especial destaque para o vazamento de dados pessoais e o uso indevido dessas informações, principalmente para golpes que causam impacto financeiro significativo para a economia do país e, naturalmente, para a economia familiar dos envolvidos.

 

     É questão de tempo para que as fontes desse tipo de vazamento comecem a ser responsabilizadas não apenas pela agência reguladora do setor, mas também por meio de ações judiciais em busca de reparação aos danos causados.

 

     Possibilitação de golpes, utilização indevida de dados por empresas de marketing, direcionamento de ofertas indesejadas e distorções de preços, uso indevido de imagem e outras informações pessoais são apenas alguns dos riscos que os clientes e utilizadores de serviços estão passíveis. Cabe às empresas privadas e ao setor público agir, de forma proativa, para minimizar estes riscos de modo a criarmos uma cultura de respeito e proteção de dados pessoais.

 

     Para isso, além da adoção de estratégias tecnológicas, a preocupação com a qualificação dos recursos humanos envolvidos diretamente com as atividades poderá ser o elemento chave para um sistema de fato seguro para todos que o utilizam.

​

 

Lukas Darien Dias Feitosa

Mestre em Direito pela Universidade Federal do Rio Grande do Norte. É advogado e professor, com atuação em direito civil e direito do consumidor, com destaque para demandas de direito à saúde e direito digital. Autor do livro 'A Proteção de Dados Pessoais na Pesquisa em Saúde'.

 

[1] No livro “O capitalismo se desloca: novas arquiteturas sociais” (Edições Sesc, 2020), Ladislau Dowbor desenvolve a discussão de como passamos, atualmente, por um processo de transição de um sistema econômico prioritariamente físico para uma lógica cada vez mais imaterial, onde a informação e o conhecimento ganham cada vez mais protagonismo.

[2] Verizon Inc. (2024). 2024 Data Breach Investigations Report (DBIR), disponível em: https://www.

verizon.com/business/resources/reports/dbir/2024/

summary-of-findings/