O que as empresas devem divulgar em caso de ocorrência de vazamento de informações

Em caso de ocorrência de uma fuga de informação, pode haver situações em que seja necessário tomar medidas administrativas, como fazer relatórios. Além da resposta à administração, também é necessário divulgar informações de maneira adequada sobre “que tipo de informação”, “quando” e “como” a informação vazou.

Portanto, neste artigo, destinado aos departamentos jurídicos das empresas, explicaremos a divulgação de informações que as empresas devem fazer em caso de ocorrência de uma fuga de informação.

Sobre a diferença entre a resposta administrativa e a divulgação de informações

Em caso de vazamento de informações pessoais, será necessário responder às regulamentações administrativas, como a Lei Japonesa de Proteção de Informações Pessoais. No entanto, apenas responder administrativamente pode ser insuficiente como resposta da empresa.

Por exemplo, se uma empresa causar um vazamento de informações, pode haver um impacto social.

Além disso, se for uma empresa listada, há a necessidade de divulgar rapidamente as informações para os stakeholders, como acionistas, parceiros comerciais e clientes.

Embora a resposta administrativa tenha o aspecto de uma resposta de acordo com a lei, a divulgação de informações feita pela empresa tem um forte aspecto de cumprir a responsabilidade social como empresa que lida com informações.

Artigo relacionado: O que fazer se houver um vazamento de informações pessoais? Explicando a resposta administrativa que as empresas devem tomar [ja]

Artigo relacionado: Aprendendo sobre gestão de crises e o papel dos advogados no caso de vazamento de 650.000 informações da Tokken Corp [ja]

Sobre a divulgação oportuna de empresas cotadas em bolsa

As empresas cotadas em bolsa são obrigadas a divulgar informações, pois se ocorrer uma fuga de informações, isso pode ter um impacto amplo.

Por exemplo, as regras de listagem de valores mobiliários publicadas pela Bolsa de Valores de Tóquio (Bolsa de Valores de Tóquio Japonesa) estabelecem as seguintes disposições sobre a divulgação oportuna:

(Divulgação de informações da empresa)
Artigo 402
As empresas cotadas, exceto aquelas que atendem aos critérios estabelecidos nas regras de execução e outros que a bolsa reconhece como tendo um impacto mínimo na decisão de investimento dos investidores, devem imediatamente divulgar o conteúdo nos termos estabelecidos nas regras de execução quando se enquadram em qualquer dos seguintes itens:
(Omitido)
x Além dos fatos listados de a a w, fatos importantes relacionados à gestão, negócios ou propriedade da empresa cotada ou aos valores mobiliários cotados que têm um impacto significativo na decisão de investimento dos investidores

Bolsa de Valores de Tóquio | Regras de Listagem de Valores Mobiliários [ja]

É considerado que a ocorrência de uma fuga de informações se enquadra em “fatos importantes relacionados à gestão, negócios ou propriedade da empresa cotada ou aos valores mobiliários cotados que têm um impacto significativo na decisão de investimento dos investidores”, portanto, é necessário fazer uma divulgação oportuna.

Especificamente, é possível divulgar o resumo da fuga de informações que ocorreu, as circunstâncias da ocorrência da fuga de informações e as perspectivas futuras para a resposta à fuga de informações que ocorreu.

Divulgação de informações que as empresas devem fazer voluntariamente

Como mencionado acima, existem casos em que a divulgação de informações é feita de acordo com regulamentos de listagem de valores mobiliários, entre outros. No entanto, as empresas podem considerar a divulgação voluntária de informações como uma forma de gestão de risco.

Artigo relacionado: Risco de vazamento de informações pessoais e compensação por danos [ja]

Em que casos a divulgação de informações deve ser feita

Em relação à divulgação voluntária de informações, como é voluntária, as empresas podem, em teoria, optar por não divulgar informações ou por divulgá-las.

Portanto, é importante que as empresas estabeleçam critérios claros para decidir se vão ou não divulgar informações.

O primeiro critério pode ser se existe um risco real de que os danos causados pelo vazamento de informações se alastrem.

Se um vazamento de informações ocorreu, mas é considerado que não terá um impacto real, a necessidade de divulgação voluntária de informações é considerada baixa.

Se a divulgação voluntária de informações for feita quando não há um risco real de que os danos causados pelo vazamento de informações se alastrem, isso pode causar confusão e agravar a situação.

O segundo critério pode ser se a divulgação de informações pode, inversamente, aumentar os danos causados pelo vazamento de informações.

Se a divulgação de um vazamento de informações ocorrer apesar de não ter havido uma resposta adequada ao vazamento, isso pode chamar a atenção de pessoas que pretendem obter informações ilegalmente, o que pode levar a mais vazamentos de informações.

Isso pode resultar em um aumento dos danos causados pelo vazamento de informações devido à divulgação voluntária de informações, e, consequentemente, em uma maior violação de direitos.

Contudo, os critérios acima mencionados não são necessariamente generalizáveis, e é necessário examinar cuidadosamente os critérios para a divulgação de informações em cada caso, e decidir se a divulgação de informações é apropriada.

Sobre os assuntos que devem ser divulgados

Quando a divulgação de informações é feita, é necessário considerar cuidadosamente os assuntos que devem ser divulgados.

Os assuntos que devem ser divulgados podem incluir, por exemplo, os seguintes:

• O tipo de vazamento de informações que ocorreu
• A data em que a empresa reconheceu que o vazamento de informações ocorreu
• A data em que o vazamento de informações ocorreu
• Como foi descoberto que o vazamento de informações ocorreu
• A causa do vazamento de informações
• O conteúdo dos danos que podem ser causados pelo vazamento de informações
• Se há ou não o risco de um aumento dos danos ou de danos secundários no futuro
• As medidas tomadas pela empresa em resposta ao vazamento de informações
• O conteúdo da investigação sobre a causa do vazamento de informações
• Se houve ou não uma denúncia à polícia, etc.

No entanto, os assuntos que devem ser divulgados variam de acordo com o caso, por isso é necessário fazer um julgamento individual de acordo com o caso.

Sobre a forma de divulgar informações

Os métodos de divulgação de informações podem incluir, por exemplo, os seguintes:

• Publicar no site da empresa
• Fazer um anúncio numa conferência de imprensa para os media
• Contactar individualmente as pessoas que podem ter os seus direitos e interesses violados devido ao vazamento de informações

Os métodos de divulgação de informações acima mencionados são apenas exemplos, e é necessário escolher o método apropriado para cada caso.

Pontos a ter em conta ao realizar uma conferência de imprensa para os media

Quando se realiza uma conferência de imprensa, o conteúdo da divulgação de informações é conhecido por um grande número de pessoas. Portanto, é necessário considerar cuidadosamente se é apropriado divulgar informações através de uma conferência de imprensa.

Por exemplo, se não existem informações além das que a empresa já divulgou no seu site, realizar uma conferência de imprensa não permitirá a divulgação de novas informações. Se uma conferência de imprensa for realizada sem novas informações, as pessoas que assistem à conferência de imprensa podem ter a impressão de que a empresa não está a divulgar informações adequadamente e não está a cumprir a sua responsabilidade de explicação, o que pode dar uma imagem de uma empresa desonesta. Portanto, é necessário ter cuidado.

Além disso, pode ser difícil, na prática, retratar ou corrigir o conteúdo falado numa conferência de imprensa.

Portanto, é necessário preparar cuidadosamente o conteúdo a ser falado numa conferência de imprensa, incluindo a consulta com especialistas como advogados, e decidir o conteúdo a ser falado com antecedência.

Pontos a ter em conta ao contactar individualmente as pessoas que podem ter os seus direitos e interesses violados devido ao vazamento de informações

Se for identificado que há pessoas que podem ter os seus direitos e interesses violados devido ao vazamento de informações, é aconselhável contactá-las individualmente antes de divulgar o facto do vazamento de informações.

Se a divulgação for feita antes de contactar individualmente as vítimas, as vítimas podem desenvolver uma desconfiança em relação à empresa e fortalecer a sua consciência hostil.

Além disso, se for possível contactar individualmente as vítimas, mas a divulgação for feita primeiro, a confiança social na empresa pode ser prejudicada.

Como podem as empresas prevenir a fuga de informações

Até agora, explicamos sobre a divulgação de informações que as empresas devem fazer em caso de fuga de informações, mas, acima de tudo, é importante prevenir a ocorrência de fugas de informações.

No Artigo 23 da Lei Japonesa de Proteção de Dados Pessoais, as medidas de gestão de segurança são definidas da seguinte maneira:

(Medidas de Gestão de Segurança)
Artigo 23 – O operador de negócios de tratamento de dados pessoais deve tomar medidas necessárias e apropriadas para a prevenção de vazamento, perda ou destruição de dados pessoais e outras medidas de gestão de segurança de dados pessoais.

e-Gov｜Lei Japonesa de Proteção de Dados Pessoais [ja]

Como conteúdo das medidas de gestão de segurança, por exemplo, podem ser consideradas as seguintes medidas:

• Elaboração de uma política básica sobre o tratamento de dados pessoais
• Estabelecimento de regras sobre o tratamento de dados pessoais
• Organização da estrutura organizacional
• Operação de acordo com as regras sobre o tratamento de dados pessoais
• Estabelecimento de meios para verificar a situação do tratamento de dados pessoais
• Preparação de um sistema para lidar com casos de fuga de informações
• Compreensão da situação do tratamento de dados pessoais e revisão das medidas de gestão de segurança
• Educação para os funcionários que lidam com dados pessoais
• Implementação de medidas de gestão de segurança física para prevenir a fuga de dados pessoais
• Implementação de medidas de gestão de segurança técnica para prevenir a fuga de dados pessoais

Acreditamos que, ao implementar as medidas de gestão de segurança acima mencionadas de acordo com a situação da empresa, é possível reduzir o risco de ocorrência de fugas de informações.

Resumo: Consulte um advogado sobre a divulgação de informações em caso de vazamento de dados

Neste artigo, explicamos a divulgação de informações que uma empresa deve fazer quando ocorre um vazamento de dados, direcionado aos departamentos jurídicos das empresas.

O ideal seria que não ocorressem vazamentos de dados, mas é considerado difícil prevenir 100% dos vazamentos na realidade.

Portanto, quando ocorre um vazamento de dados, é importante que a empresa tome as medidas adequadas.

Quanto à resposta a um vazamento de dados, é necessário um exame cuidadoso de acordo com o caso, por isso recomendamos que consulte um advogado com conhecimento especializado.

Apresentação das medidas propostas pelo nosso escritório

O Escritório de Advocacia Monolith é um escritório de advocacia com alta especialização em IT, especialmente na intersecção entre a Internet e a lei. O conhecimento especializado é essencial na elaboração de regulamentos internos. No nosso escritório, realizamos revisões de vários casos, desde empresas listadas na Bolsa de Valores de Tóquio até startups. Se tiver problemas com os regulamentos internos, consulte o artigo abaixo.