Incidentes de segurança da informação vêm progressivamente atraindo atenção das empresas e de todo o público por eles afetado. São incluídos nesses eventos os vazamentos de dados pessoais, a perda de informações relevantes de negócios, os sequestros de dados que impossibilitam a condução de negócios, o compartilhamento indevido de segredos industriais e comerciais com concorrentes, dentre muitas outras situações que impactam a confidencialidade, a integridade ou a disponibilidade de informações.
Quando um evento dessa natureza ocorre, os agentes que controlam ou operam as informações afetadas devem conduzir uma série de análises para determinar as providências necessárias para mitigar os riscos e danos, cumprir com obrigações contratuais e seguir a legislação aplicável.
Medidas para incidentes de segurança da informação
Como exemplos de medidas a serem adotadas, estão:
-
a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e titulares afetados nos casos de incidente de segurança da informação, quando envolvem dados pessoais que acarretem risco ou dano relevante aos titulares;
-
a notificação à parte contrária de contratos que determinam tal obrigação; e, obviamente,
-
a implementação de medidas técnicas para cessar a vulnerabilidade identificada.
Além de tudo isso, companhias abertas possuem mais um item a ser avaliado quando ocorre um incidente de segurança da informação, que envolvam ou não dados pessoais: a necessidade de publicação de fato relevante.
Publicação de fato relevante
De acordo com a Lei das Sociedades por Ações (Art. 157 § 4º da Lei nº 6.404/76), os administradores da companhia aberta são obrigados a comunicar imediatamente à bolsa de valores e divulgar pela imprensa fato relevante ocorrido nos seus negócios, que possa influir, de modo ponderável, na decisão dos investidores do mercado de vender ou comprar valores mobiliários por ela emitidos.
Ao regulamentar a referida obrigação legal, a Resolução da Comissão de Valores Mobiliários (CVM) nº 44/2021 considera fatos relevantes aqueles de caráter político-administrativo, técnico, negocial ou econômico-financeiro ocorrido ou relacionado aos negócios de uma companhia aberta que possa influir de modo ponderável na:
-
cotação dos valores mobiliários de emissão da companhia aberta ou a eles referenciados;
-
decisão dos investidores de comprar, vender ou manter aqueles valores mobiliários; ou
-
decisão dos investidores de exercer quaisquer direitos inerentes à condição de titular de valores mobiliários emitidos pela companhia ou a eles referenciados.
A lista exemplificativa de ato ou fato potencialmente relevante contida na Resolução CVM nº 44/2021 não menciona especificamente incidentes de segurança da informação. Entretanto, ela traz como exemplos algumas situações comumente envolvidas em incidentes dessa natureza, tais como: início, retomada ou paralisação da fabricação ou comercialização de produto ou da prestação de serviço; descoberta, mudança ou desenvolvimento de tecnologia ou de recursos da companhia; e propositura de ação judicial, de procedimento administrativo ou arbitral que possa vir a afetar a situação econômico-financeira da companhia.
Vale ressaltar, também, que a lista contida no parágrafo único do art. 2°, da Resolução, é meramente exemplificativa. Por isso, a companhia afetada pelo incidente de segurança da informação deve avaliar o potencial de tal incidente influir de modo ponderável na cotação dos valores mobiliários e na decisão dos investidores de negociar ou exercer qualquer direito relacionado aos valores mobiliários emitidos pela companhia ou a eles referenciados. Dessa forma, a avaliação de um incidente de segurança da informação por companhia aberta deve incluir a necessidade de divulgação ao mercado mediante publicação de fato relevante. Quanto mais sensíveis, sigilosos e relevantes os dados afetados forem para as operações da companhia, maior a probabilidade de a divulgação de um fato relevante ser necessária.
Relevante também atentar-se à obrigação de confidencialidade quanto à ocorrência do incidente de segurança, e avaliar a ordem de todas as medidas a serem adotadas, especialmente as que envolvam divulgação e notificação a órgãos públicos e quaisquer terceiros. Isso porque a Resolução CVM nº 44/2021 estabelece que membros da companhia e quaisquer terceiros relacionados devem guardar sigilo das informações relativas ao fato relevante até a sua divulgação ao mercado.
Quanto ao descumprimento
Caso haja o descumprimento das normas de divulgação de fato relevante pelas companhias, será caracterizada uma infração grave, para os fins previstos na Lei nº 6.385/1976.
É essencial que as empresas mantenham uma política de segurança da informação e um plano de resposta a incidentes que contemplem todas as etapas a serem seguidas na ocorrência de um incidente de segurança da informação. No momento de emoções intensas em que se envidam grandes esforços para controlar as consequências desastrosas de um incidente de segurança da informação, não deverão ser esquecidas as obrigações legais cujo descumprimento possa vir a somar aos prejuízos financeiros e reputacionais da empresa.
