Insights

Voltar aos insights
Ana Cristina Borges MDS Portugal | Executive Director
15.10.2019

O impacto dos riscos cibernéticos nos negócios

O seguro de risco cibernético é hoje crucial para todas as empresas. As multas milionárias sucedem-se, como aconteceu recentemente com o Facebook e a British Airways.

No passado mês de julho, foi noticia que duas grandes empresas, o Facebook e a British Airways sofreram pesadas multas por violação de dados pessoais.

A British Airways foi multada em 204 milhões de euros pela Agência Britânica para a Proteção de Dados Pessoais (ICO) devido ao roubo de dados de centenas de milhares de clientes em 2018. Já o Facebook foi multado em 5 mil milhões de dólares (4,4 mil milhões de euros) pela Comissão Federal do Comércio dos EUA (FTC) devido à forma como tem gerido a privacidade dos utilizadores. Esta foi, aliás, a maior sanção alguma vez aplicada a uma empresa nesta matéria.

O caso do Facebook, envolve a consultora britânica Cambridge Analytic, que utilizou uma aplicação para recolher dados de 87 milhões de utilizadores do Facebook sem o seu consentimento e com fins políticos. A empresa serviu-se de dados do Facebook para elaborar perfis psicológicos dos eleitores, que alegadamente vendeu a clientes, nomeadamente à campanha presidencial do Donald Trump de 2016.

A partilha de dados com terceiros sem o conhecimento dos titulares constitui uma violação do acordo sobre privacidade que o Facebook estabeleceu em 2011 com a FCT. Os dirigentes do Facebook, incluindo o cofundador e administrador-delegado, Mark Zuckerberg, foram ainda condenados a admitir publicamente que falharam na proteção da privacidade dos utilizadores da Facebook.

No caso da British Airways, apesar de ter respondido rapidamente ao roubo dos dados de clientes e de não ter encontrado evidências de atividade fraudulenta nas contas dos clientes afectadas por esse roubo, esta foi igualmente objecto de uma pesada multa.

As organizações devem ter cada vez mais presente que os dados pessoais pertencem aos seus titulares e que, pelo facto de possuírem e/ou processarem esses dados pessoais, são responsáveis por estes e respondem pela violação dos direitos dos titulares de dados pessoais, independentemente da origem do incidente e das suas consequências na esfera pessoal do titular ou de um terceiro.

A premissa de que os dados em si não possuem valor, e de que o valor decorre do seu uso é completamente afastada no âmbito da legislação de protecção de dados quando através do seu processamento se cria informação ou ganho financeiro.

Assim, e de forma a assegurar os direitos dos titulares de dados pessoais, a lei impõe às organizações várias obrigações em caso de um incidente de violação de dados pessoais, entre eles a exigência de uma rápida resposta, como seja a identificação da sua origem, o restabelecimento dos sistemas afectados, a recuperação dos dados e a notificação aos titulares dos dados. O incumprimento destas obrigações é objecto de pesadas multas, como se verificou no caso da British Airways e do Facebook. 

A gestão de risco e a transferência de risco, nomeadamente para o seguro de riscos cibernéticos, é um instrumento fundamental e eficaz para a protecção do balanço das empresas. 

O seguro de riscos cibernéticos permite uma resposta mais rápida e eficiente da empresa a um incidente de violação de dados pessoais por ataque cibernético, funcionando como uma ferramenta de transferência mas também de mitigação do risco actuando em todos os processos de tratamento de risco.

O seguro inclui desde a análise e avaliação da exposição ao risco, a definição de cenários de perda, a disponibilidade de equipa de consultadoria especialista em cibersegurança, bem como o pagamento de perdas e danos financeiros (como seja o custo de recuperação de dados, as despesas com investigações, as despesas judiciais, perda de lucros) ou o pagamento de indemnização a terceiros lesados.

Política de Cookies

Este site utiliza Cookies. Ao navegar, está a consentir o seu uso. Saiba mais

Compreendi
Descubra o mundo MDS