“A Europa é um exemplo em política de cibersegurança”
Relevo | Esteban Elias
Esteban Elias*

Esteban Elias*

Em novembro, a dinamarquesa A.P. Moller-Maersk, maior companhia de transportes marítimos do mundo, divulgou um prejuízo de 1,5 bilhão de dólares no seu balanço do terceiro trimestre. O resultado foi influenciado por um ataque cibernético sofrido pela companhia em junho, episódio que lhe custou cerca de 300 milhões de dólares. Naquele mês, diversas empresas foram alvo do vírus Petya, um software malicioso que criptografa servidores e exige o pagamento de um resgate para que o acesso seja restabelecido. Na Maersk, o ataque reduziu os volumes transportados em 2,5% no terceiro trimestre, ao comprometer os sistemas de processamento de pedidos e provocar congestionamento em alguns terminais portuários. Casos como esses estão se tornando cada vez mais frequentes e prejudiciais a empresas de todo o mundo, observa Esteban Elias, professor de direito econômico da Universidade Central do Chile e sócio do escritório Elias & Cia, com presença no Chile e nos Estados Unidos. Elias esteve recentemente no Brasil para participar de um evento sobre transformação digital promovido pelo escritório Patricia Peck Pinheiro Advogados e concedeu uma entrevista exclusiva à CAPITAL ABERTO. Confira.

Prioridade

“A quantidade de ataques e incidentes que ocorrem na internet é crescente. Portanto, todos os assuntos relativos à segurança cibernética têm sido tratados com prioridade na maioria das empresas. Além de direcionar uma fatia maior do orçamento para resolver problemas de controle e segurança cibernética, algumas empresas têm contratado executivos especialistas no tema. Esses profissionais devem trabalhar de forma coordenada com o departamento de tecnologia da informação e com a diretoria da empresa.”

Proteção ao usuário

“Tanto em matéria de segurança cibernética quanto de proteção de dados, os países europeus estão muito mais avançados do que outros países. Em 2016, a União Europeia criou uma norma [Diretiva sobre Segurança de Redes e Sistemas de Informação – NIS UE 2016/1148] que obriga os integrantes do grupo a adotar uma estratégia nacional de segurança das redes e dos sistemas de informação. A diretiva estabelece regras mínimas de segurança [a preocupação é principalmente com os operadores dos chamados serviços críticos, como energia e transportes] e determina como deve ser feita a notificação às autoridades no caso de vazamento de dados de clientes. Além disso, obriga as empresas a terem um executivo dedicado à segurança cibernética. É importante observar que as regras de proteção de dados na Europa têm um efeito extraterritorial. Empresas de outros países que lidem com dados de pessoas que estejam na Europa precisam se adequar à diretiva para fazer negócios.”

Na cola na Europa

“Diferentemente da Europa, os Estados Unidos têm ainda uma legislação muito branda em relação à proteção de dados dos usuários. Na América Latina, em geral, o que temos visto é uma tendência de adoção de normas muito similares às da Europa. No caso do Chile, há um projeto de lei que assimila grande parte das normas já existentes na Europa e que vai colocar uma série de obrigações às empresas que operam com dados pessoais, como a responsabilidade por vazamentos.

A culpa é da empresa

“Um caso que ocorreu no Chile foi o de um cliente de um banco que foi vítima de phishing. Por meio de um e-mail fraudulento, esse cliente teve sua senha roubada e recursos foram retirados de sua conta corrente. O banco não quis devolver o dinheiro, e o investidor entrou com uma ação na Justiça. A corte entendeu que é responsabilidade da instituição financeira zelar pela segurança de sua plataforma digital e a obrigou a indenizar o cliente. Isso deixa claro que, em uma situação de ataque cibernético em que o cliente for lesado, quem deve responder é a empresa. [O Brasil regulamentou o Marco Civil da Internet em 2014, mas o tratamento de dados pessoais ainda carece de regulamentação. Tramitam no Congresso alguns projetos de lei com esse tema, entre eles o PL 5276/2016, o PL 4060/2012 e o PL 330/2013].”

Responsabilidade

“A responsabilidade dos conselhos de administração em relação à segurança cibernética e de dados ainda é uma questão em aberto. Com exceção da Europa, que responsabiliza o board e a diretoria, a maioria dos países [o que inclui o Brasil] não tem regras claras sobre de quem é a responsabilidade dentro da empresa no caso de um roubo de dados. No Chile, a responsabilidade recai sobre a diretoria.”

Despreparo

“De modo geral, as grandes empresas estão mais avançadas na questão de segurança cibernética. Elas têm seus riscos mapeados e estão por dentro das legislações envolvendo o tema. Já as pequenas e médias precisam prestar mais atenção ao assunto. Muitas delas não estão se preparando para se adequar às evoluções legislativas que tratam da segurança cibernética.”


Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.


Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.


Você está lendo {{count_online}} de {{limit_online}} matérias gratuitas por mês

Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.

Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais


Ja é assinante? Clique aqui

mais
conteúdos

APROVEITE!

Adquira a Assinatura Superior por apenas R$ 0,90 no primeiro mês e tenha acesso ilimitado aos conteúdos no portal e no App.

Use o cupom 90centavos no carrinho.

A partir do 2º mês a parcela será de R$ 48,00.
Você pode cancelar a sua assinatura a qualquer momento.