No passado dia 7 de Setembro a EQUIFAX fez um anúncio público de proporções sísmicas para o mundo da segurança da informação: “A 29 de Julho tinha descoberto que criminosos tinham acedido a ficheiros sensíveis, tirando partido de fragilidades de segurança do seu website”. Esses ficheiros contêm dados confidenciais de 143 milhões de clientes nos Estados Unidos. A EQUIFAX é uma empresa de análise de dados de crédito pessoal americana, estrela do mercado, com facturação anual na casa dos 3.2BUS$, EBITDA de 36% e com taxas de crescimento da facturação de 14%. Nas 24 horas a seguir à comunicação a empresa perdeu cerca de 13% do seu valor em bolsa.

E se a EQUIFAX estivesse ao abrigo do novo Regulamento Geral de Protecção de Dados Pessoais (RGPD)?

A resposta mais simples é considerar que poderia estar sujeita a uma coima com o valor máximo de 4% da facturação anual. Contudo, o caso EQUIFAX tem um manancial de lições que facilmente nos mostram o lado positivo do novo regulamento. Escolhemos três.

Em primeiro lugar a divulgação da quebra de segurança. Como se sabe, nos EUA isso é obrigatório, mas na União Europeia não o é até à entrada em vigor do RGPD (25 de Maio de 2018). Antes de mais, cada vez que uma organização revela uma quebra de segurança de informação, cada titular dos dados fica com informação sobre o que pode ter acontecido com os seus dados. Mas, acima de tudo, todo o mercado ganha, quer pela sensibilização dos públicos clientes, quer, sobretudo, pelo incentivo que representa para as restantes empresas, para tomarem seriamente aquele que é um dos desafios mais complexos na era da informação digital: como valorizar e proteger os activos digitais. É bem-vinda a obrigatoriedade de comunicação que o RGPD traz.

Em segundo lugar, a chamada de atenção para a criticidade e complexidade da segurança da informação. No comunicado, a EQUIFAX informa que tinha descoberto a 29 de Julho que estava a ser atacada. Mas esse ataque tinha começado em meados de Maio! Ou seja, durante dois meses a terceira mais importante empresa de risco de crédito americana teve hackers dentro da sua rede, sem o perceber. Como diz o CISO da HP: “Fortune 2000 companies are divided into 2 groups: the ones that know that have been compromised and those that do not know yet”. A única forma de fazer frente a este desafio é incluir as preocupações de segurança e privacidade desde a primeira etapa de concepção de cada novo produto e serviço, uma disciplina que se vem afirmando crucial nas abordagens de segurança, designada Privacy by Design. É bem-vinda a disseminação das práticas de Privacy by Design trazida pelo RGPD.

Em terceiro lugar, vale a pena olhar com cuidado para o que foi o esforço e consistência da comunicação da EQUIFAX. Como se lida com um evento desta magnitude? Quem responde, como? Como alinha, o que é dito a nível de administração e comunicação ao mercado, com o que os serviços de atendimento a cliente respondem aos clientes? Logo no comunicado ao mercado a EQUIFAX anunciou que, como compensação, iria oferecer a cada cliente americano uma “comprehensive package of identity theft protection and credit monitoring at no cost”. Com base nos serviços que a empresa vende hoje e atendendo a que existem potencialmente 249 milhões de clientes, estes serviços são avaliados em cerca de 60B USD! As exigências de organização trazidas pelo RGPD, nomeadamente em termos de processos de comunicação de incidentes, são muito bem-vindas.

Em jeito de conclusão o RGPD é tido pela generalidade das empresas como um fardo e um custo adicional. Contudo, se a EQUIFAX estivesse ao abrigo do RGPD provavelmente teria implementado procedimentos que reduziriam o impacto do que aconteceu. Aproveite e veja o lado positivo do RGPD!

João Ribeiro da Costa é professor auxiliar convidado da Católica Lisbon School of Business & Economics