LGPD: Caso Marriott e a sua lição para as organizações

lgpd-casomarriott

Aprenda com o vazamento de dados do Marriott e prepare sua organização para o Brasil pós LGPD.

Em julho de 2019 o mundo dos negócios assistiu estarrecido a intenção da ICO (Information Commissioner’s Office) multar o grupo Marriott International em US$ 124 milhões por infringir o GDPR (Regulamento Geral sobre a Proteção de Dados). A multa seria o desfecho de uma investigação após notificação do incidente ter sido realizada, pelo próprio Marriott ao ICO, em novembro de 2018. Cabe destacar que ao final da investigação constatou-se que o vazamento afetou cerca de 339 milhões de registros de hospedes, dos quais 30 milhões de residentes na Europa e 7 milhões relativos a residentes no Reino Unido. Quanto ao conteúdo, o vazamento inclui detalhes de documentos como passaportes e também dados de cartões de crédito.

Fato importante! O incidente não ocorreu no Marriott.

Oi! Como assim???

A investigação do incidente revela que o fato gerador teve início em 2014 em um dos sistemas do grupo Starwood.

Opa! Como? Isso mesmo! O fato gerador (exposição) ocorreu em outra empresa.

Mas como isso afetou o Marriott? Continuemos a analisar o desenrolar dos fatos de acordo com a investigação. Em 2016 o Marriott adquiriu o grupo Starwood Hotels Group. Ou seja, a vulnerabilidade havia ocorrido dois anos antes da aquisição e a etapa de due diligence não foi capaz de enxergar ou considerar o passivo que estava a latente, sendo a vulnerabilidade percebida somente nos idos de 2018, já sob gestão do Marriott.

Com base nesse cenário, lanço a pergunta que é o mote desse artigo:

E se situação semelhante ocorre em uma organização operando em solo brasileiro em 22/08/2020? Quais seriam as consequências para os envolvidos? Qual o impacto para a organização adquirida? Qual o impacto para o investidor?

Além de explorar o cenário hipotético acima, nossa intenção é exercitar sobre à prática adequada a luz da gestão de incidentes e explorar a relação com os atores envolvidos: adquirido e comprador.

Sobre incidentes e a relação com a LGPD

O tratamento adequado do incidente sempre foi um tema relevante sob o aspecto da gestão da segurança da informação e atualmente com a ascensão das leis de privacidade ao redor do globo, ganha ainda mais importância. Cabe destacar que ao contrário do que muitos acreditam, o tratamento do incidente tem início na prevenção. A escolha dos controles é uma etapa preponderante e deve ocorrer sob orientação e análise da análise/avaliação de riscos. Os controles eleitos terão a função de prevenir que os incidentes ocorram, como isso pode ser impossível na maioria dos cenários, detectá-los em caso de ocorrência, também deve ser uma opção considerada. Por fim apresentar uma reação frente a ocorrência dos mesmos, evitando que se espalhem ou cause danos mais profundos. Então, os controles selecionados deverão ter a vocação de evitar, detectar e reagir aos incidentes; tudo isso com a finalidade de modificar os riscos compreendidos e priorizados.

Há um “adágio” no meio de segurança da informação que reforça o raciocínio de que incidentes acontecem e adverte o seguinte: a questão não é se (o incidente) vai acontecer, mas quando! Diante da verdade assumida contemplar medidas que consideram todas as etapas (desde a prevenção até a reação) do incidente se faz necessário.

A postura de prevenção está totalmente alinhada com os princípios contidos nas leis de privacidade e também do modelo preconizado pelo NIST (SP 800-61r2) para tratativa do incidente cibernético. As organizações serão julgadas pelo que fizeram (ou pelo que deixaram de fazer!) durante a custódia do dado para evitar o incidente, bem como pelo tratamento dispensado diante do ocorrido. Nesse cenário é importante salientar que, embora as organizações não possuam ingerência sobre o agente da ameaça, deve exercitar as possibilidades sob a luz da gestão de risco afim de encolher ao máximo a superfície de exposição e mitigar os possíveis efeitos danosos do fato ocorrido.

A LGPD observará aspectos amplos no que diz respeito ao tratamento do incidente, não se limitando a avaliar somente o fato ocorrido, mas também quão cuidadosa a organização foi em evitá-lo e mitigá-lo uma vez o incidente esteja materializado. Recomendo a leitura dos artigos 50 e 52 a fim de que percebam o panorama amplo em que o assunto é apresentado pelo legislador.

O due diligence durante o processo de merge & acquisitons deve ser adequado ao novo cenário

Com a evolução das leis de privacidade a avaliação meticulosa da operação adquirida deve ser item obrigatório durante o rito de aquisição. Incidentes pregressos ocorridos, seja conhecido e detalhados, ou não detalhados, se receberam tratamento ou não, poderá se revelar um passivo em potencial no futuro, daí a importância de investigá-los durante o due diligence.

Chamo a atenção ao seguinte fato: um evento adverso ocorrido, como um vazamento de dados, por exemplo, ainda que não tenha sido notado, é um incidente e mais cedo ou mais tarde poderá quebrar a rotina do responsável pelo mesmo, inclusive interferindo no resultado financeiro por um longo período. Dúvida? Olhe o caso da TARGET no EUA ocorrido em 2013 (https://bravatek.com/latent-effects-of-the-recent-target-data-breach-on-the-us-economy/), que embora alheio a questão do M&A é um bom exemplo de como os incidentes podem ecoar por alguns anos no resultado da empresa afetada.

Voltando ao tema, é indispensável a inclusão no processo de M&A dos times de privacidade de dados e segurança da informação. A avaliação dos controles de segurança aplicados revelará muito sobre a condução do assunto na organização adquirida. Entender o processo de gestão de riscos, em particular o ERM (Enterprise Risk Management) é preponderante para estabelecer uma avaliação holística . Recomendo a leitura do artigo a seguir que trata do tema (https://www.linkedin.com/pulse/merges-acquisitions-o-dpo-deve-ser-envolvido-due-alexandre-prata/).

A empresa que deseja ser adquirida também deve estar atenta ao tema. E não o fazer poderá representar empecilhos na fluidez da negociação. Cláusulas restritivas no MOU (Memorandum of Understanding) considerando ajustes financeiros posteriores, como por exemplo a devolução de valores, poderão ser impostas pela compradora. Por fim a organização ofertada poderá sofrer redução considerável no valor almejado. Avalie o cuidado que uma startup que busca ser investida deve ter. Não há desculpa para empresas pequenas que manuseiam dados privados. Absolutamente todas as organizações deverão acatar os princípios estabelecidos pela Lei com base no que está definido até o momento.

Mas, se isso acontecesse na sua organização em agosto de 2020?

Provavelmente sua organização terá que se explicar com a ANPD (Autoridade Nacional de Proteção de Dados), com o MP, advogados oportunistas e titulares de dados enfurecidos por conta da popularidade que o tema vem tomando dia após dia. As multas são pesadas, podendo chegar a R$ 50 milhões ou 2% do faturamento, o que for maior. Nunca no país se viu a prática de multa tão vultosa. Além da multa deve-se considerar a reputação da empresa e por último sanções pertinentes a utilização dos dados envolvidos no incidente, o que poderá decretar o fim do negócio dado o grau de dependência dos mesmos em alguns segmentos. Por exemplo, uma agência de empregos.

Em se tratando de M&A a empresa que adquiriu a organização onde ocorreu o vazamento (modelando o incidente com o Marriott) poderá ver sua reputação ofuscada de maneira nunca experimentada. Poderá ter a operação impactada e dependendo do trato sistêmico ou tecnológico dado pós M&A (consolidação de sistemas, refatoração de serviços e etc.) ter problemas com a utilização de dados dos titulares além do escopo da organização adquirida. Isso para nos ater a aspectos de ordem imediata e prática, sem mencionar a batalha judicial que poderá seguir para ajuste financeiro da transação. Os envolvidos na venda da organização poderão ter que ceder a esses ajustes e sofrer outras sanções, tudo dependerá daquilo que for acordado e celebrado nos acordos de sucessão.

Como a VA pode ajudar sua organização

Como abordado no artigo é necessário elevar a maturidade da organização no que diz respeito a maneira de encarar os riscos cibernéticos. Estamos diante de um mundo novo onde não basta fazer bem o que a organização sabe fazer para se destacar no mercado em que opera. É necessário estar preparado para um ambiente de negócio em constate evolução e responder adequadamente a esses estímulos. Recursos tecnológicos são elementos imprescindíveis para reduzir o tempo de resposta necessário, mas sabemos que a adoção desses recursos também pode trazer vulnerabilidades que aumentarão a superfície de exposição da organização. A Ventura ERM poderá ajudar sua organização estabelecendo o processo de gestão de riscos, transferindo aos seus colaboradores todo conhecimento necessário para conduzir o tema na sua organização. Na modalidade BPO é possível entregar a gestão de risco cibernético da sua organização aos cuidados de nossos profissionais que diligentemente estarão não somente estabelecendo o processo, mas realizando o monitoramento dos mesmos e periodicamente reportando resultados. A Ventura Academy também poderá capacitar seus profissionais em gestão de riscos cibernéticos e incidentes, preparando sua organização para atender aos requisitos das leis de privacidade. Seja na escolha e manutenção dos controles ou na resposta a incidentes seus colaboradores estarão suficientemente preparados para todas as etapas de um incidente.

Agende uma visita e conheça nosso portfólio de soluções para preparar sua organização para LGPD.

Por Alexandre Prata, colaborador da Ventura Academy.