En los últimos años, los ataques de ransomware se han convertido en una de las mayores amenazas cibernéticas para las empresas en Brasil y en el mundo. Ante este escenario, el abogado especialista en derecho digital Gabriel Araújo Souto, del despacho PG Advogados, explica los pasos jurídicos esenciales que las empresas y profesionales deben adoptar cuando son víctimas de este tipo de delito.
"El primer error que cometen muchas empresas es actuar sin asesoría jurídica especializada", advierte el abogado. Según él, la prisa por recuperar los datos lleva a muchas organizaciones a tomar decisiones precipitadas que pueden agravar la situación legal. El pago de rescate, por ejemplo, no es un delito en Brasil, pero debe ser analizado con cautela, ya que puede tener implicaciones éticas y legales, explica.
El especialista destaca tres medidas jurídicas necesarias tras un ataque
1. Preservación de pruebasApagar los sistemas afectados sin orientación técnica puede destruir evidencias importantes para las investigaciones.
2. Notificación a las autoridadesLa LGPD (Ley General de Protección de Datos Personales) exige comunicación a la ANPD (Autoridad Nacional de Protección de Datos) en un plazo de hasta 72 horas cuando hay una filtración de datos personales.
3. Análisis contractual– Es esencial verificar las obligaciones con clientes y proveedores sobre protección de datos.
Para prevención, Souto recomienda que las empresas incluyan cláusulas específicas sobre seguridad cibernética en contratos con proveedores de TI; que desarrollen un plan de respuesta a incidentes alineado con las exigencias legales; y que realicen auditorías periódicas para verificar la adecuación a las normas de protección de datos.
"El aspecto jurídico de la seguridad digital se suele descuidar hasta que es demasiado tarde. La asesoría preventiva puede evitar no solo los daños del ataque en sí, sino también las consecuencias legales que pueden persistir durante años", concluye el especialista.
