Mariana Sbaite Gonçalves*
O conceito de war room data de meados da Segunda Guerra Mundial (1939-1945), cunhado pelo então primeiro-ministro britânico, Winston Churchill. Na época, a sala de guerra foi especialmente planejada para o debate e elaboração de estratégias para frear os avanços do exército de Hitler.
Hoje, War Room é conhecido como um centro de comando, ou pela sua tradução livre, como uma sala de guerra. De forma prática, é o espaço utilizado por profissionais que se agrupam para traçar estratégias específicas, a fim de alcançar um objetivo. O foco é gerar ideias e respostas rapidamente!
War room é um conceito muito utilizado na segurança da informação, e podemos citar como exemplos, grandes vazamentos, como o Wannacry. Sempre que algo assim acontece, uma war room é acionada, para minimizar ao máximo os danos.
Também é muito utilizado por empresas de marketing. Inclusive, uma situação famosa foi quando, no Super Bowl de 2013, caiu a energia durante o jogo e a marca de bolachas Oreo postou instantaneamente: “you can still dunk in the dark”, tipo “você ainda pode mergulhar no escuro”, expressão utilizada para molhar a bolacha no leite, também usada no futebol americano. Eles tinham uma war room a postos e reagiram de imediato, tendo ótima recepção no Twitter.
War room e a segurança da informação
Dispõe o artigo 48 da LGPD, que o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Um incidente com dados pessoais é um evento que leva à destruição, perda, alteração, divulgação ou acesso não autorizados, de forma acidental ou ilícita, a dados pessoais transmitidos, armazenados ou processados pela empresa.
Quando acontece esse tipo de incidente, ter agilidade de raciocínio e rapidez nas medidas de contenção é primordial para evitar maiores prejuízos, tanto para as organizações como para os titulares de dados pessoais. E é aqui que o conceito de war room cai como uma luva.
Para que serve a war room na segurança da informação?
Atualmente, são encontradas diversas variações, como comitês de riscos, salas de crise, equipes de incidentes, dentre outros nomes.
No entanto, o importante é ter prevenção antes de tudo, e estar pronto para responder, de imediato, a qualquer ocorrência de incidentes que envolvam dados pessoais. Comitês e salas de discussão não são exigências legais, mas o artigo 50 da LGPD dispõe sobre a possibilidade de aplicar boas práticas, a fim de, realmente, organizar e proteger os dados, além de assegurar os direitos fundamentais dos titulares e de proteger toda a estrutura da empresa.
Traz também a LGPD, em seu artigo 46, a necessidade da adoção de medidas técnicas e administrativas, justamente com o objetivo de afastar vulnerabilidades e ameaças, evitando riscos de incidentes e prejuízos para a companhia. Então, ter um plano de resposta a incidentes assertivo e eficiente é uma medida muito importante. Este plano tem o objetivo de lidar com a situação com rapidez, limitando os danos e diminuindo o tempo e os custos da recuperação. E, nestes casos, ter uma war room é benéfico para ter agilidade nas respostas e orientar a tomada de decisões.
Outra medida importante é capacitar profissionais e agrupá-los, para chegar às melhores decisões e cooperar para o melhor atendimento e resposta a todo e qualquer incidente. O ideal é ter uma equipe multidisciplinar, conhecedora do assunto e com conhecimento da estrutura para resposta a incidentes. Algo muito similar é uma brigada de emergência, quando se fala em segurança do trabalho e acidentes, por exemplo. É criado um grupo, treinado e testado para que, quando ocorra qualquer situação emergencial, ele esteja apto para atender prontamente.
Principais benefícios da war room
E, afinal, quais os benefícios da war room? Maior organização, criação de estratégias conjuntas, maior motivação da equipe, entregas mais rápidas, maior reconhecimento, maior agilidade e objetividade nas respostas, conhecimento das principais fraquezas, visão estratégica da equipe, dentre outros.
Todas essas ações são de suma importância, não apenas para preservar a privacidade dos titulares, mas também para resguardar a organização. Eis que, em seu artigo 42, dispõe a LGPD que, quando os agentes de tratamento causarem algum tipo de dano a outra pessoa, serão obrigados a repará-lo.
Fato é, que independentemente da quantidade de medidas de segurança adotadas, incidentes podem (e vão!) ocorrer alheios à nossa vontade, logo, todo e qualquer artifício que ajude a evitá-los é sempre bem-vindo. Além de prevenção, sempre, a criatividade e a inovação certamente cooperam para um ambiente mais estruturado e seguro.
Leia também: O mal compreendido consentimento
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS). Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
