A segurança da informação e proteção de dados é um assunto que está em pauta e afeta qualquer organização. É difícil, e diria até mesmo quase impossível ter uma empresa que não lida com informações confidenciais e dados pessoais de qualquer origem. Em posts anteriores falamos sobre o que é a certificação ISO 27001, o que se espera com a implementação desta norma. Agora, vamos abordar os riscos envolvidos quando a empresa não possui uma certificação de segurança da informação e o atendimento à legislação de proteção de dados.
Entendendo os riscos de não ter a Certificação ISO 27001
Os impactos diretos à organização dependerão das cláusulas penais definidas contratualmente, que geralmente estão relacionadas a multas compensatórias, podendo haver outras punições.
No caso da fabricante norte americana de vacinas contra o corona vírus, a Pfizer, era estabelecido em contrato firmado com o Governo Federal a não divulgação dos valores pagos na vacina por até 10 anos, sendo que a quebra das clausulas de segurança do contrato poderia acarretar na suspensão do serviços, porém o Governo ainda teria que pagar o valor das doses sem recebê-las.
Estar atento às cláusulas de confidencialidade do contrato é extremamente importante, até para que a empresa possa avaliar os riscos envolvidos e verificar quais investimentos ou adequações precisará realizar para cumprir esses acordos.
Já quando nos referimos a proteção de dados, além das sanções previstas no contrato com o cliente, a empresa poderá ainda estar sujeita as sanções previstas na Lei Geral de Proteção de Dados, tais como:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total de a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além de todas essas sanções, existem outros riscos que trarão impactos financeiros à empresa, mas que serão difíceis de dimensionar. São os impactos na reputação da marca, que é um consequência muito comum em empresas que tiveram seus nomes envolvidos em vazamento de informações.
A empresa até poderá até ter uma estimativa de contratos que estavam em negociação e não foram fechados por conta da exposição ou até mesmo de clientes que reincidiram o contrato pelo mesmo motivo, mas certamente não conseguirá estimar a quantidade de potenciais clientes que deixaram de considerar a empresa como um potencial fornecedor.
Dependendo dos impactos que estas sanções ou exposição negativas trouxer a empresa, quanto tempo e dinheiro custariam para a empresa reconquistar a confiança no mercado, de clientes e investidores? Quanto tempo sua empresa levaria para se reestabelecer? Ela se reestabeleceria?
Numa análise de risco do negócio, tenho certeza de que este não é um risco que deve escolher correr, pois é muito mais que caro do que se adequar!
Tem interesse em implementar a ISO 27001 em sua empresa? Clique aqui e fale com um especialista!
