Setor portuário não está maduro na proteção de dados, aponta advogado
Além da cibersegurança, especialista identifica que segmento ainda precisa de investimentos no tratamento de dados para se adequar à LGPD
Para especialistas, a maturidade de cibersegurança do setor portuário é considera baixa. Portos, operadores logísticos e empresas de navegação já sofreram com ataques cibernéticos no mundo inteiro. No Brasil, além da cibersegurança, o setor portuário também precisa amadurecer o tratamento de dados, alvo frequente de hackers que exigem resgate para impedir o vazamento de documentos sigilosos de funcionários e clientes.
Para proteger os dados de brasileiros, em 2020, a LGPD (Lei Geral de Proteção de Dados Pessoais) entrou em vigor. A lei se aplica a todas as empresas e todos os setores que têm controle, manutenção ou recebem de alguma forma dados pessoais. Para Fábio Pereira, sócio da Veirano Advogados, focado nas áreas de proteção de dados, tecnologia da informação e cibersegurança, outros setores já estão começando a se preocupar, mas o segmento portuário ainda não tem dado a devida atenção.
"O setor portuário não está maduro na proteção de dados e nós vemos que houve um aumento nas tentativas de extração de informação. A LGPD é a lei principal que se aplica a esse tema e desde 2020 já prevê sanções e elas são executáveis desde 2021", alertou o advogado à Portos e Navios.
Segundo Pereira, multinacionais, bancos e empresas da área do varejo foram os que mais buscaram se adequar à lei, diferente do portuário. Para o advogado, é crucial que o setor portuário tenha a sensibilidade de que dados pessoais são importantes. "O setor trata dados não só de empresas como pessoas físicas, trabalhadores da indústria, dados sensíveis de pessoas embarcadas, ou seja, o mercado precisa prestar atenção", comentou.
Além disso, as empresas podem sofrer penalizações da Autoridade Nacional de Proteção de Dados (ANPD). Atualmente, há pelo menos mais de 40 processos administrativos em curso e a expectativa é que em 2023 tenha um aumento das investigações e aplicação de sanções que vão desde uma simples advertência até multa de R$ 50 milhões por infração. Pereira destacou que, mesmo que o dano financeiro seja expressivo, o dano reputacional pode ser o pior.
Para não passar por isso, as empresas são obrigadas, por meio do artigo 50 da LGPD, a adotar medidas de segurança — técnicas e administrativas — para proteger os dados pessoais. "Isso é feito por meio de boas práticas, governança e programas específicos. Ainda não temos o regulamento da ANPD, mas há uma série de normas setoriais específicas que falam de cibersegurança e proteção de dados de uma forma geral, inclusive a ANTAQ", relembrou Pereira.
Em 2019, a Agência Nacional de Transportes Aquaviários (ANTAQ) elaborou a Metodologia de Gestão de Riscos e Integridade, por meio da portaria 446/2019-DG/Antaq, com o objetivo estruturar as etapas necessárias à operacionalização da gestão de riscos, alinhada às diretrizes dispostas na Política de Gestão de Riscos, com base no modelo COSO/ERM e na norma ISO 31000:2018.
Além disso, em 2022, a diretoria colegiada da ANTAQ aprovou a criação da unidade de gerenciamento de riscos e integridade, instância de apoio institucional responsável pela coordenação, execução e monitoramento do Programa de Gestão de Riscos da agência reguladora.
Para Pereira, os padrões de segurança são essenciais para o setor. "É recomendado que tenha algumas específicas: a 27001 é a principal, padrão de referência internacional da gestão da informação; 27002 que tem boas práticas para garantir a segurança e a 27701 que especifica como manter um sistema de gerenciamento de informação com privacidade", destacou.
Em caso de ataque, o advogado indica que a primeira ação não seja subir o backup antes de guardar as evidências. "As medidas de imediato são: chamar uma empresa que tenha capacidade de preservar aquele ambiente, retomar as operações, chamar a consultoria jurídica e o time de tecnologia da informação para uma sala fechada e a partir daí começar a tomar decisões", comentou.
Site Portos e Navios – 25/01/2023