A resiliência empresarial após a ocorrência de uma violação de dados pessoais

Ter resiliência, na vida, é uma questão de sobrevivência. Passamos por várias adversidades, tanto na vida pessoal, como na profissional, no entanto, precisamos estar prontos para recomeçar, sempre.

E quando falamos sobre a lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18 e sobre a ocorrência de uma violação de dados pessoais, não é diferente. A referida lei veio para preservar a privacidade dos titulares de dados e, na ocorrência de qualquer tipo de incidente de segurança ou violação de dados pessoais, é fundamental que a empresa seja, além de assertiva e eficiente nas correções, resiliente.

Somente quem já enfrentou uma violação de dados pessoais, principalmente, se houve publicização do fato, sabe o transtorno que é e como é difícil conter todos os problemas oriundos do ocorrido: gasto de tempo, gasto de dinheiro, tomada de medidas de urgência, dores de cabeça etc.

Para facilitar, esclarecemos:

• Resiliência é a capacidade de se adaptar em situações difíceis ou de fontes significativas de estresse;
• A resiliência empresarial é a capacidade da empresa persistir, recuperar-se e ajustar-se mediante mudanças e eventos adversos;
• O incidente é uma situação na qual a confidencialidade, a integridade ou a disponibilidade das informações pessoais podem ser potencialmente comprometidas;
• A violação de dados pessoais representa uma falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais.

Quando da ocorrência de uma violação de dados pessoais, é imprescindível que a organização atue de forma rápida e inteligente: acione a equipe responsável, ponha em prática o plano de resposta a acidentes, bem como atue em conjunto com a equipe de comunicação, a fim de minimizar os problemas exposição nas mídias.

E como saber se devemos ou não comunicar a ANPD e os titulares envolvidos? Sobre o tema, estabelece a ANPD: O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Mas, mais do que isso, as pessoas devem trabalhar em conjunto, buscando soluções práticas e que protejam a marca e a reputação da empresa, bem como os dados dos titulares. Além do óbvio, após todo o estresse de conter os riscos e prejuízos, a empresa precisa entender o que aconteceu, compreender as lições ali aprendidas e trabalhar de modo preventivo, a fim de evitar reincidência de violações.

Importante: considerar as lições aprendidas tem como objetivo evitar a recorrência das imprecisões, cooperar para a evolução da segurança dentro da empresa e praticar a melhoria contínua em todos os processos. Ainda, é necessário registrar todo o ocorrido (quer seja em relatórios, sistemas, formulários) e de compartilhar com toda a equipe, para que todos entendam a situação e evitem repetir o equívoco.

Nenhuma organização pretende passar por uma infração envolvendo dados pessoais, nem qualquer dado, contudo, caso ocorra, se desesperar não é o caminho. Claro que uma má publicidade afeta (e muito!), a continuidade dos negócios, no entanto, não se pode desistir da guerra após perder apenas uma batalha.

E quando se fala em privacidade e proteção de dados pessoais, a chave é a conscientização. Sim, mais do que investimento em profissionais e ferramentas de última geração, ou em qualquer outra coisa. A importância da legislação vigente sobre o tema precisa ser reforçada, ensinada, repetida. Quanto maior o conhecimento compartilhado, melhores as chances de boas reações quando da ocorrência de uma violação.

É sabido que não há segurança 100%, por maior que seja o investimento em segurança, todavia, é papel das organizações atuar sempre de modo preventivo e, infelizmente, quando algo sai errado, ser transparente e atuar com boa-fé com relação aos titulares e a ANPD (Autoridade Nacional de Proteção de Dados).

Claro que a expectativa é que nenhum incidente de segurança ou violação de dados pessoais ocorra, todavia, caso aconteça, não adianta "chorar o leite derramado" ou procurar culpados, mas sim, resolver a situação de forma equilibrada, buscando soluções que facilitem a atuação do time de crises e se ajustar quando surgirem momentos adversos.

Muitas vezes, após um incidente ou uma violação de dados pessoais, a empresa entende a importância da privacidade, investe mais em conscientização e ferramentas e melhora, não apenas seu nível de segurança, mas de aprendizado. Isso, sim, cooperará para a tal mudança de mindset tão almejada.

Mesmo que aconteçam situações indesejadas, a vontade de aprender e se reerguer precisa ser maior. Será necessário, como dito popularmente, "levantar-se, sacodir a poeira e dar a volta por cima".

Não será apenas sobre falha humanas ou de máquinas, sobre falta de dinheiro e/ou de investimento, mas sim, sobre comportamento e atitude. Resiliência é isso: é insistência, é força, é poder de cura e compreensão de que sim, as coisas podem dar errado, porém, quando dão, são aprendizados para que, futuramente, deem certo.

Na atual conjuntura, por mais clichê que possa parecer, mais cedo ou mais tarde todas as organizações acabarão se envolvendo em violações de dados pessoais, logo, é essencial ter meios de resolução rápida dos problemas, bem como de saber que, por mais problemas que surjam, eles precisam ser resolvidos com praticidade e bom senso, atitude e pensamentos positivos força mental, a fim de fortalecer a relação de confiança com os titulares de pessoais bem como com os parceiros de negócios.

-----------------

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

https://zenklub.com.br/blog/trabalho/resiliencia-ajuda-volta-por-cima/

https://www.migalhas.com.br/depeso/378806/respostas-aos-incidentes-de-seguranca-e-as-violacoes-de-dados-pessoais

https://gestaodesegurancaprivada.com.br/resiliencia-organizacional-empresarial-o-que-e-conceitos/