Autora: Karoline Barbosa Santos
A crescente digitalização dos processos corporativos tem ampliado significativamente a exposição das organizações a riscos cibernéticos. Vazamentos de dados, ataques de ransomware e outras formas de incidentes de segurança da informação se tornaram ameaças constantes ao ambiente empresarial, trazendo consequências técnicas, legais, reputacionais e financeiras.
Diante desse cenário, o compliance digital emerge como instrumento fundamental de prevenção, controle e resposta a tais riscos. Ele estrutura políticas internas e práticas que asseguram a conformidade com normas legais e padrões éticos, além de garantir a segurança da informação e boas práticas relacionadas ao uso da tecnologia, proteção de dados e segurança da informação. Neste contexto, o advogado assume um papel estratégico: atua na identificação de riscos jurídicos, na construção de planos de resposta a incidentes (PRI) e na mediação entre as áreas técnica, administrativa e regulatória.
Os pilares do compliance digital incluem a identificação de riscos legais e operacionais, a implementação de controles internos, a capacitação de equipes, e a estruturação de políticas e procedimentos voltados à conformidade e prevenção de incidentes.
A atuação preventiva é indispensável no contexto digital, especialmente em virtude da legislação brasileira, que exige das empresas a reparação de danos e medidas concretas para evitar que eles ocorram. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), por exemplo, impõe obrigações específicas relacionadas à segurança da informação e à responsabilização dos agentes de tratamento.
A prevenção, neste contexto, passa pela elaboração e aplicação de programas de integridade digital, que envolvem: Mapeamento e avaliação de riscos; Implantação de controles e planos de contingência; Monitoramento contínuo; Engajamento de todas as áreas da organização.
Essas medidas têm o objetivo de prevenir, detectar e remediar práticas de corrupção, fraude, irregularidades e outros desvios de conduta, promovendo um ambiente de negócios mais seguro e confiável. E o advogado exerce papel essencial nesse processo aplicando e garantindo que todas as leis estão sendo observadas nas políticas internas da empresa.
Os incidentes de segurança (CIS), conforme definidos pela Regulamento da ANPD, são eventos adversos confirmados ou sob suspeita, que comprometem a confidencialidade, integridade ou disponibilidade de dados pessoais. São exemplos comuns, as invasões a sistemas, os vazamentos de dados, os ataques de negação de serviço (DDoS) e o ransomware e sequestro de informações.
Esses incidentes causam impactos diretos à imagem institucional, à confiança dos clientes e à estabilidade financeira da empresa. Do ponto de vista legal, a LGPD determina a obrigatoriedade de notificação à Autoridade Nacional de Proteção de Dados (ANPD) e, quando necessário, ao titular dos dados, no prazo razoável e com a descrição detalhada das medidas adotadas, em consonância ao que dispõe na Resolução CD/ANPD nº 15.
Diante da ocorrência de um incidente de segurança, a atuação do advogado ultrapassa o campo reativo e ganha protagonismo na fase de planejamento e prevenção de crises cibernéticas. Os Planos de Resposta a Incidentes (PRI) são documentos estruturados que orientam as ações da empresa desde a detecção de um incidente até sua contenção e comunicação com autoridades e stakeholders.
Nesse contexto, o advogado atua em diversas frentes:
- a) Elaboração e revisão de políticas internas: Contribui para a criação de políticas claras de segurança, privacidade e uso aceitável de recursos tecnológicos, alinhando-as às exigências legais;
- b) Definição de responsabilidades legais: Orienta sobre os deveres de cada agente no tratamento do incidente, bem como a responsabilização civil e administrativa decorrente de falhas ou omissões.
- c) Gestão da comunicação com titulares e autoridades: Participa da redação de notificações à ANPD e aos titulares dos dados, assegurando linguagem clara, objetiva e juridicamente precisa.
- d) Mitigação de danos e suporte estratégico: Assiste a alta gestão durante a crise, inclusive em eventual mediação com a imprensa, fornecedores e clientes, atuando para minimizar impactos legais e reputacionais.
- e) Capacitação e cultura organizacional: Auxilia na formação de uma cultura de conformidade e segurança, promovendo treinamentos e campanhas de conscientização sobre riscos cibernéticos e boas práticas jurídicas.
A crescente exposição das empresas a ameaças digitais reforça a necessidade de uma abordagem preventiva e integrada, na qual o compliance digital desempenha papel estruturante. O advogado, nesse cenário, deixa de ser mero reativo e passa a atuar como agente estratégico na proteção da organização.
Sua presença ativa na elaboração de políticas, no acompanhamento de riscos e na estruturação de planos de resposta a incidentes fortalece a governança corporativa e eleva o nível de maturidade em segurança da informação.
Conforme a tecnologia avança, o papel do jurídico se consolida como indispensável na construção de ambientes corporativos mais resilientes, éticos e em conformidade com a legislação vigente.
BIBLIOGRAFIA:
BRASIL, Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Danos Pessoais – LGPD) https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
BRASIL, RESOLUÇÃO CD/ANPD Nº 15, DE 24 DE ABRIL DE 2024
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024
ANDRADE, José Gabriel. Integração de experiência prática: a comunicação de crise e a cibersegurança.
https://repositorium.uminho.pt/bitstream/1822/88781/1/createlab2023.pdf
