De modo geral, utiliza-se a expressão ‘vazamento de dados’ para ataques tecnológicos, provenientes de fora da empresa, que promovem a extração ou a divulgação de dados. Entretanto, a iniciativa para o vazamento dos dados, em muitos casos, parte de dentro da própria empresa, ensejando a sua responsabilização.
Estudos revelam que o maior número de incidentes de vazamento de dados decorre de empregados, que são assediados por pessoas de fora, ou que promovem, eles próprios, a venda destes dados para terceiros ou na chamada dark web - camada obscura da web, onde se encontram sites e redes não rastreáveis e propícia à prática de crimes; ou ainda, de atos do empregado negligente ou que comete um erro. Um levantamento realizado pelo Comitê Europeu de Proteção de Dados apontou o erro humano como uma das causas mais expressivas de incidentes de segurança de dados.
Uma pesquisa publicada pelo Ponemon Institute em 2018 aponta um aumento em frequência e custo nas violações de dados causadas por agentes internos às organizações - os incidentes de segurança causados pelo colaborador que rouba dados e credenciais de colegas custam mais caro, mas as violações de dados por erro ou negligência dos colaboradores são as mais frequentes.
Outro estudo do Ponemon Institute revelou que 63% das pequenas e médias empresas sofreram algum tipo de incidentes com vazamento de dados em 2019, estando entre as principais causas a perda ou o roubo de equipamentos, ataques à rede, vulnerabilidades dos dispositivos móveis e e-mails enviados para destinatários errados.
A LGPD determina que os agentes de tratamento de dados devem adotar medidas técnicas e administrativas de segurança aptas a proteger os dados pessoais de acessos não autorizados (art. 46).
As organizações devem, portanto, não somente investir em cibersegurança, mas também voltar uma atenção incisiva ao pessoal interno, para implementação de medidas organizacionais que possam obstar a ocorrência de vazamentos de dados com origem interna corporis.
A segmentação do acesso às informações é uma medida eficaz – disponibiliza-se cada conjunto de dados apenas a quem precisa acessá-lo, sempre mediante autenticação. Sendo o caso, uma auditoria revelará o histórico de acessos com a identificação de quem acessou, data, horário, ação praticada em relação aos dados. Esta medida é útil para a identificação e responsabilização do infrator, mas também como meio da organização demonstrar que adotou medida apta a proteger os dados pessoais de acessos indevidos, com reflexos importantes no grau da sua responsabilização perante a ANPD ou terceiros.
Outra medida básica, que pode reduzir em muito os erros humanos, e também demonstra boas práticas adotadas para a governança dos dados pessoais, é o treinamento de todos os colaboradores, tanto quanto às chamadas medidas de ciber-higiene para um uso seguro da internet, quanto de conscientização em proteção de dados pessoais - conscientizar o pessoal e instituir novas rotinas pode abolir praxes negligentes como as de se ausentar do próprio terminal sem efetuar logout ou de manter a senha pessoal de acesso colada no monitor com um post-it ou sob o teclado do computador.
O envio equivocado de e-mail é uma forma frequente de violação da segurança dos dados, por promover o acesso não autorizado (art. 6º, VII e art. 46, LGPD), que pode ter reduzida a sua incidência pelo treinamento de conscientização em proteção de dados e a instituição de novos processos, com definição de um passo-a-passo até o envio da mensagem.
A instituição de um programa de conformidade à LGPD permite a identificação das medidas adequadas à organização, considerando a sua estrutura, o ramo de atividade, o modo de trabalho, bem como os dados pessoais tratados e o seu fluxo.
