Praticamente meio período sem conseguir fazer negócios. Foi essa realidade que muitos empresários experimentaram na segunda-feira, 4 de outubro, com o “apagão” do WhatsApp, Instagram e Facebook.
Motivo de memes e ansiedade para vários usuários, o ocorrido afetou a maioria dos negócios brasileiros, já que essas plataformas vêm sendo a principal opção de venda para boa parte dos comerciantes.
Desde a pandemia da Covid-19, dezenas de empresas, principalmente as de médio e pequeno porte, têm experimentado um aumento na utilização de redes sociais e ferramentas de comunicação, não só para divulgar seus produtos e marcas, mas também para impulsionar e manter o comércio ativo.
Importante ressaltar ainda que para muitas o WhatsApp é o principal, senão o único, canal de comunicação com a sua clientela. Em relatório produzido pela FGV e SEBRAE, “O impacto da pandemia do coronavírus nos pequenos negócios – 10ª edição”, ficou constatado que 7 em cada 10 empresas vendem utilizando internet.
É um número bastante relevante, e o mais interessante é ver que os primeiros meios mencionados como exemplos foram os que ficaram fora do ar. É válido mencionar também que, de acordo com o Governo Federal, em seu portal do Governo Digital, o Brasil possui mais de 12 milhões de empresas que são consideradas Empresas Individuais, e que conta até agora, no ano de 2021, com a abertura de mais de 2 milhões de Empresas Individuais.
O impacto financeiro foi vasto e ainda é difícil calcular o tamanho dos prejuízos provocados nos mais variados tipos de negócios. Nesse contexto, surge o questionamento se a interrupção do serviço poderá ser contestada na Justiça e motivo de indenização por danos materiais. Afinal, essas ferramentas de comunicação passaram a ser um meio utilizado na prestação de serviço, que geram remuneração indireta.
Diante disso, é indispensável ter um planejamento voltado para mitigar riscos e prejuízos, com estratégias como plano de continuidade de negócios, práticas baseadas em Segurança da Informação e aplicação das próprias medidas previstas pela Lei Geral de Proteção de Dados.
O que mais causou espanto e deixou a todos atônitos não foi o fato da ocorrência em si, visto que não é a primeira vez que acontece, mas a evidência do quanto ainda não estamos preparados para lidar com este tipo de evento.
Tanto as empresas que hoje fornecem os serviços de comunicação digital, que se tornaram essenciais no dia a dia das pessoas e que deixaram consumidores e empresas completamente desatendidos, como os próprios usuários que se viram em uma situação de dificuldade de migrar rapidamente para uma opção alternativa.
O que mais causou espanto não foi o fato da ocorrência em si, mas a evidência do quanto ainda não estamos preparados para lidar com este tipo de evento
Devemos olhar com muita preocupação esta questão, pois isso ocorreu novamente por não estar estabelecido um protocolo de emergência que deveria partir inclusive dos próprios fornecedores do serviço, o que permitiria a todos os seus usuários passar pela situação de indisponibilidade sem grandes transtornos nem prejuízos.
Mas isso exige, claramente, um certo preparo e planejamento para que seja adotado de forma eficaz. Após todos estes anos de utilização das redes sociais, como ainda não colocamos como prioridade de pauta a implementação de um plano de continuidade de negócios?
Por certo, grandes empresas que ofertam serviços com um impacto social tão elevado em diversos países não poderiam ter como resposta apenas um pedido de desculpas. Do ponto de vista jurídico, as falhas devem ensejar responsabilização e os prejuízos devem ser ressarcidos.
E é imprescindível que seja feita a fiscalização adequada para que as lições aprendidas permitam prevenir novas ocorrências ou reincidências que geram grande dano coletivo.
Bem, fato é que como medida alternativa para não verem suas atividades paralisadas, muitos usuários e empresas buscaram o socorro emergencial de outras plataformas (Telegram, Clubhouse, dentre outras).
Essas plataformas ficaram lotadas por essas empresas para a manutenção da continuidade da prestação dos serviços e dos atendimentos, buscando incansavelmente a sustentação do diálogo com seu cliente, além das suas transações.
O que nos traz também a análise do risco da concentração excessiva de mercado e o quanto isso é prejudicial quando estamos diante de situações como estas.
Essa crise mostra os grandes impactos que um “apagão digital” pode gerar e tem intersecção com várias temáticas que vão desde a Segurança da Informação até questões relacionadas com o Direito Concorrencial e a Proteção de Dados Pessoais.
No tocante à Segurança da Informação, devemos observar o disposto na ISO 27002/2013, na parte 17.1.1 – Planejando a continuidade da segurança da informação, em seu controle, vemos o seguinte:
“Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.”
Ainda é possível dizer que um dos principais pilares da Segurança da Informação (CID – Confidencialidade, Integridade e Disponibilidade) mostrou grande fragilidade diante desse ocorrido, que é a garantida da disponibilidade, já que muitos dos negócios que utilizam das redes sociais se tornaram indisponíveis, sem poder efetivar nenhuma transação, demonstrando falta de preparação para esse tipo de evento.
Inevitável também associar o caso à Lei Geral de Proteção de Dados, tendo em vista que a ISO mencionada, inclusive, é considerada como um dos bons caminhos a se seguir para a adequação à LGPD. Portanto, se pensarmos num negócio que tenha feito uma boa implantação da lei, possivelmente contará com um plano de continuidade de negócios adequado.
Assim, as ocorrências mais comuns seriam voltadas a incidentes de segurança e prováveis violações de dados. Contudo, a empresa estaria preparada para uma crise que envolvesse a disponibilidade nas suas transações, incluindo internet e redes sociais, meios que servem como forma de recebimento e compartilhamentos de dados pessoais e que sustentam as atividades das empresas de maneira geral.
Não há nada que justifique que grandes plataformas digitais já não pudessem oferecer outras alternativas
Refletir sobre Segurança da Informação e LGPD é estar diante da necessidade de implementar mecanismos de controle e governança mais sofisticados, que incluem um planejamento voltado para eventos de crise, de modo a não interromper as atividades de vendas, justamente na continuidade de negócios para além da internet e redes sociais.
Se isso pode ser mais desafiador e custoso para pequenas empresas, não há nada que justifique que grandes plataformas digitais já não devessem estar completamente em conformidade com todas estas medidas e pudessem oferecer inclusive outras alternativas.
Além do mais, a verificação da continuidade da gestão da segurança da informação se preocupa com a funcionalidade dos processos, procedimentos e controle, verificando sua consistência, desempenho, criticidade e eficácia. Fora a questão da redundância que, de forma mais simples de ser explicada e aplicada ao caso, foi visto como requisito de sobrevivência das atividades empresariais ao utilizarem redes sociais alternativas.
Sendo assim, a implementação das boas práticas de Segurança da Informação, contendo um Plano de Continuidade tanto contribui para prevenir e remediar situações como estas do apagão de mídias digitais como atender aos requisitos de conformidade da nova Lei 13.709/2018 (LGPD) que está plenamente em vigor no Brasil, com Autoridade fiscalizadora já estabelecida e atuante ANPD e multas podendo ser aplicadas desde 1º de agosto de 2021.
Patricia Peck é sócia do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Lucas Galdino, advogado especialista em Direito Digital e Cibersegurança do Peck Advogados