Caso C&A: o que muda com a nova Lei Geral de Proteção de Dados?

Primeiro vazamento de grande repercussão após a aprovação da LGPD acende alerta no mundo corporativo

Em resumo

Em vigor desde maio, o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia serviu de base para diversas propostas ao redor do mundo, principalmente depois do caso da Cambridge Analytica. No Brasil, o Congresso Nacional aprovou a Lei Geral de Proteção de Dados (LGPD), em agosto. A nova legislação, cujas obrigações entram em vigor em fevereiro de 2020, traz garantias aos cidadãos e obrigações às corporações - que serão responsabilizadas por vazamentos de dados pessoais de clientes. Quinze dias após a sanção presidencial, a C&A amarga o gosto de um vazamento massivo de dados, além de denúncias de fraude. Quais as consequências que a empresa terá de lidar? Se estivéssemos em 2020, o que aconteceria?

Entenda a história

Você já deve ter passado por uma situação parecida com essa: entra em uma loja de fast fashion e é abordado de forma insistente a fazer um cartão de crédito da marca, com a promessa de melhores descontos e condições de parcelamento. Mas na semana passada a C&A se envolveu em uma situação um tanto quanto complicada: denúncias foram feitas acusando a empresa de usar informações coletadas de candidatos às vagas de trabalho para emitir cartões não solicitados.

Poucos dias depois, mais precisamente na quinta-feira (30), e-mails de clientes e funcionários da empresa foram vazados na internet, supostamente em retaliação à denúncia. O perfil do twitter @j0shua e o grupo Fatal Crew assumiu responsabilidade pela ação:

C&A e-Commerce System Hacked!!! ~ +4 milhões de Pedidos Exposed! ~ Fatal Error Crew ~ #HACKED #LEAK @Tec_Mundo @clandestine4 @AvcSuperman @cea_brasil @LabDefCon

"Mess with the best die like the rest!" pic.twitter.com/axswluGP2M
— j0shua (@s3xyj0) 30 de agosto de 2018

Não se sabe quando o sistema foi invadido, mas diversos registros de um sistema de vendas de cartão-presente da empresa foram expostos. O grupo afirma ter acesso a mais de 36 mil dados de cadastro, incluindo informações como nome, CPF e transações.

C&A Middleware Hacked!!! Conte-nos mais sobre esse plano de contingência... https://t.co/AI9O2LSsPC https://t.co/Y1GjcpubZV
"Para que não se possa abusar do poder é preciso que, pela disposição das coisas, o poder freie o poder." @Tec_Mundo @clandestine4 @s3xyj0 @cea_brasil pic.twitter.com/qbstwwyx6k
— Superman (@AvcSuperman) 30 de agosto de 2018

O Fatal Crew existe desde 2001 e seu ataque de maior visibilidade até hoje foi uma invasão ao site do Exército Brasileiro, em 2011. O grupo tem um longo histórico de defacements com o objetivo de revelar falhas em sistema, especialmente em sites de governo.

Após o incidente, entramos em contato com a assessoria de imprensa da empresa que confirmou o caso: “A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência”.

E se fosse 2020?

No mês passado, a LGPD entrou em vigor para unificar diferentes regulamentações sobre uso e troca de informações em ambientes digitais. O principal objetivo é garantir que os cidadãos tenham maior controle quanto ao uso de dados compartilhados em diversos sites e serviços. A partir de 2020, as empresas deverão prestar contas sobre o que fazem com os dados coletados, informando de maneira clara aos usuários, caso hajam alterações nesse sentido.

Caso a LGPD já estivesse em vigor, a empresa deveria notificar todos os usuário afetados pelo incidente, um tremendo impacto de imagem junto a clientes.

Além disso, em casos em que fique comprovado que o vazamento foi causado por negligência (como sistemas desatualizados ou senhas fracas), a legislação prevê sanções como advertências e multas de até R$ 50 milhões (ou 2% do faturamento anual), a depender da gravidade do incidente.

E a GDPR?

A C&A é uma empresa holandesa do século XIX, que possui operações no Brasil desde 1976. Desde maio, todo negócio que possui relações comerciais e de serviços com o Velho Continente precisam se adequar às normas da GDPR. O objetivo da lei europeia é evitar abusos por parte das empresas e resguardar direitos dos consumidores

Apesar do “vínculo geográfico” as penalidades da GDPR só se aplicam caso existam vítimas de nacionalidade europeia. Tanto no que diz respeito ao vazamento de dados pessoais e sensíveis, quanto ao mau uso das informações coletadas. Nesse caso, as multas variam de 4% da renda global da empresa a 20 milhões de euros, prevalecendo o que tiver maior quantia.

Proteção de dados: um diferencial competitivo, mesmo!

Assim como diversas outras legislações que surgiram antes dessa, a LGPD veio à tona para transformar as boas práticas de mercado em ações de fato. A experiência com a GDPR mostra que deixar a adaptação pra última hora é custoso e problemático. Por que não começar a se preparar desde já?

Se por um lado a confirmação do incidente coloca a empresa em saia justa, por outro esse tipo de atitude é a melhor maneira de se lidar com o incidente. A transparência é valorizada por clientes e a visibilidade que incidentes do tipo traz ajuda as empresas a se conscientizarem a respeito dos riscos.

Ainda que as empresas de certa forma sejam também vítimas nestes casos, há expectativa de que a jurisprudência traga clareza para o que pode ou não ser considerado negligência na proteção de informações de terceiros. Proteger informações de clientes com o máximo cuidado passa a ser não somente requisito regulatório, mas diferencial competitivo em um ambiente de negócios cada vez mais digital e baseado em dados.

Colaboradores do artigo
Alessandra Olinda
Carol Saccardo
Ramon de Souza
Thauan Santos

Anderson RamosSeptember 3, 2018Conscientização, segurança da informação, GDPR, LGPD4 Comments