O arqueólogo dinamarquês Christian Jürgensen Thomsen desenvolveu e aperfeiçoou o chamado sistema das três idades para dividir a pré-história em três períodos específicos (Idade da Pedra, Idade do Bronze e Idade do Ferro) e para classificar as descobertas arqueológicas de acordo com os materiais utilizados pelos humanos para fabricar suas ferramentas e armas.

Atualmente, se assumirmos que atualmente os dados são não apenas a principal fonte de desenvolvimento econômico, como também a base para a comunicação, educação e relacionamentos sociais, podemos nomear a era em que vivemos como a era dos dados digitais.

Não é surpresa, portanto, os dados e a capacidade de processá-los cada vez mais rapidamente são também a base para o desenvolvimento de armas e atividades criminosas.

O crime cibernético está alcançando um nível de sofisticação e eficiência que permite compará-lo a um crescente segmento econômico (não obstante ilícito). Além disso, o fato de os negócios e a economia estarem cada vez mais baseados nas informações e inovações tecnológicas, tal como AI (Inteligência Artificial) e IoT (Internet of Things), certamente faz com que existam mais oportunidades para a realização de crimes cibernéticos.

Nesse contexto, temendo os impactos dos ataques cibernéticos, os legisladores de vários países estão promulgando leis e regulamentos para fortalecer os direitos a privacidade e a proteção de dados, visando a limitar e controlar a coleta e o uso de dados pessoais, tornar as empresas responsáveis pela divulgação das violações cibernéticas e também fazer com que as empresas implementem planos de ação emergencial em casos de ataques cibernéticos.

O Regulamento Geral de Proteção de Dados (GDPR) e o Network Information Security Regulation (NIS) da União Europeia e vários regulamentos federais, estaduais e locais dos Estados Unidos focam na proteção de dados e na segurança cibernética impondo a adoção de medidas que poderão afetar fortemente o modelo de negócio e a forma como as empresas processam dados pessoais. Sem pretender apresentar um resumo detalhado desses regulamentos, podemos afirmar que a maioria deles se preocupa com:

-fortalecer os direitos das pessoas sobre seus dados pessoais (consentimento afirmativo e direito ao esquecimento);

-impor limites e controles de processamento de dados das empresas (finalidade específica e prazo);

-obrigar as empresas a adotarem procedimentos de segurança rígidos para dados pessoais; e

-estabelecer sanções pelo não cumprimento das leis e regulamentos de proteção de dados.

O objetivo principal dessas novas legislações consiste em promover a segurança cibernética. Numa tentativa (provavelmente imperfeita) de definir a segurança cibernética pode-se conceituá-la como um processo para proteger sistemas e redes de computadores contra ataques destinados a obter acesso não autorizado, a expor, destruir ou roubar ativos econômicos e os dados processados em tais sistemas e redes.

Embora muitos governos e empresas estejam se esforçando para aplicar e cumprir as novas regulamentações, a mudança de mentalidade em relação à segurança cibernética e proteção de dados requer atenção constante, mais transparência no uso dos dados pessoais e respostas mais rápidas a incidentes de violação de segurança.

A promulgação de novas normas para intensificar a proteção dos dados pessoais e implementar procedimentos mais rigorosos para o acesso e gerenciamento de bancos de dados e sistemas impõe aos escritórios de advocacia novos desafios para garantir a segurança cibernética e a proteção de dados nas transações de compra e venda ou transferência de participações societárias.

Durante todo o curso de uma transação societária dessa natureza, as empresas devem ter uma visão clara das práticas de processamento dos dados pessoais e os eventuais riscos envolvidos na operação, para assim entenderem as medidas que devem ser adotadas para concluir a transação. Entre as dúvidas e questionamentos frequentes que nos têm sido apresentados, gostaríamos de destacar os seguintes:

-Como acessar dados pessoais em conformidade com os novos regulamentos? O comprador deve ter certeza de que o acesso às informações fornecidas pela empresa obedece às obrigações legais e contratuais relativas ao processamento de dados pessoais. Não é possível fornecer ou acessar todas as informações sem que se tenha certeza da legalidade desse fornecimento ou acesso.

-Como garantir um nível de segurança suficiente para os escritórios de advocacia? Os escritórios de advocacia precisarão garantir a segurança de seus sistemas para evitar qualquer vazamento de dados ou até mesmo um ataque cibernético, usando ferramentas para mitigar riscos, envolvendo uma equipe de TI e contratando seguro para compensar qualquer violação de segurança.

-Como avaliar adequadamente os ativos de dados pessoais da empresa? Garantir o acesso legítimo aos dados pessoais detidos pelo comprador é uma precaução importante. Uma cuidadosa análise prévia das políticas internas e das responsabilidades relacionadas ao vendedor deve ser bem definida nos documentos preliminares de uma transação societária. É necessário estabelecer a responsabilidade pela contingência relativa ao uso indevido dos dados pessoais.

-Como contratar seguros para eventuais violações de dados e como calcular esse seguro diante da falta de estatísticas de riscos? Empresas e escritórios de advocacia precisarão negociar novas apólices de seguro apropriadas para refletir os riscos cada vez maiores de ataques cibernéticos.

Apesar do progresso na implementação de medidas de segurança para garantir a segurança cibernética e a proteção de dados, as empresas ainda têm um longo caminho a percorrer para mudar seus modelos de negócios para uma forma que possa enfrentar a constante ameaça dos crimes cibernéticos. Não apenas as empresas diretamente envolvidas em fusões e aquisições, mas principalmente os escritórios de advocacia, terão de investir em segurança cibernética, com foco na proteção dos dados pessoais. É estritamente necessário que todas as empresas invistam no aprimoramento do gerenciamento, dos riscos e da segurança da informação, adotando as melhores práticas em segurança cibernética, a fim de garantir a prevenção de fraudes e a integridade dos dados.

*Fernando Stacchini, sócio e head das áreas de Tecnologia, Cyber Security, Direito Digital e Propriedade Intelectual do Motta Fernandes Advogados

Sorry, this entry is only available in Brazilian Portuguese.