Vazamento de dados: O que fazer quando um e-mail for enviado para a pessoa errada?

Qualquer um pode cometer um deslize e enviar um e-mail para o destinatário errado. Saiba EM 4 PASSOS como lidar com este problema caso ele ocorra em contexto profissional.

Todos os dias, mais de 300 bilhões de e-mails¹ são enviados em todo o mundo, conforme demonstra o gráfico abaixo, contendo o Número de e-mails enviados e recebidos por dia em todo o mundo (em bilhões):

Todos nós já passamos por isso – aquele momento em que o coração quase salta do peito quando percebemos que mandamos um e-mail importante - como um contendo informações confidenciais - para a pessoa errada. Por exemplo, selecionando Pedro Silva em vez de Pedro Silveira... ou mesmo quando clicamos no “responder a todos”, quando a resposta deveria ser apenas para uma das pessoas...

Qualquer um pode cometer esses erros e, na maioria dos casos, nem perceberá que há algo errado até que as consequências comecem a se desenrolar. Mas se você perceber que direcionou um e-mail incorretamente, terá a chance de mitigar um pouco os danos antes que a situação saia do seu controle. Relatório recente do Fórum Econômico Mundial revelou¹ que 95% dos problemas de segurança cibernética são causados por erro humano. Entre esses erros estão as violações de informações pessoais quando alguém envia este tipo de dado por e-mail para a pessoa errada (o que pode ter consequências graves, considerando as leis de proteção de dados).

Nesta edição do Radar Roos (que é baseada em casos reais, vividos por clientes no contexto corporativo) vamos orientar o passo a passo de quais medidas tomar nessas situações e dar dicas para que isso não volte a ocorrer.

1º- Veja se consegue desfazer ou cancelar o envio do e-mail.

Vale a pena criar uma cultura de verificação dupla de e-mails, incentivando a equipe a diminuir o ritmo ao enviar e-mails. Implementar processo de verificação dupla do conteúdo antes que alguém clique em enviar é uma forma de prevenção de danos. No mínimo, seus usuários devem verificar novamente:

- o destinatário;

- o endereço de e-mail do destinatário; e

- se o anexo é o documento correto (inclusive abrindo o anexo, pois pode haver erro de sistema ou de nomenclatura).

Existem tecnologias que permitem que você 'solicite' à sua equipe que verifique cada um dos itens acima antes de enviar. Se você está preocupado com a possibilidade de uma violação de dados ocorrer dessa forma, vale a pena implementar essas medidas técnicas.

Com as ferramentas certas, é possível bloquear mensagens enviadas antes que cheguem a olhos não autorizados, poupando potencialmente uma organização de consequências graves.

Se você usa o Gmail, por exemplo, poderá ter um período de carência de 5 a 30 segundos após o envio do e-mail, dependendo das configurações da sua conta. No gmail aparece um pop-up perguntando se deseja desfazer o envio da mensagem que, quando clicado, faz com que o e-mail volte para a pasta “rascunhos! sem nunca chegar ao destinatário (essa opção já salvou muita gente)!

Em caso de uso do Outlook.com, esse atraso dura apenas 5 a 10 segundos, mas com o aplicativo Outlook é possível pode configurar uma regra que oferece mais tempo para desfazer uma mensagem antes de ela ser enviada (até duas horas, o que poder ser um bom controle de segurança).

Se você enviou um e-mail para alguém em seu local de trabalho/organização/empresa e ambos estão usando o aplicativo Outlook, é possível recuperar a mensagem. Esta opção permite alterar ou excluir mensagens que já chegaram à caixa de entrada do seu colega de trabalho, desde que o e-mail ainda não tenha sido aberto.

A lição mais importante é que você deve alterar suas configurações de e-mail agora mesmo para ter certeza de ter a maior janela de oportunidade possível para corrigir seu erro antes que ele cause danos irrevogáveis.

Mas o que acontece se o e-mail for enviado e você não puder retirá-lo?

2º - Avaliação de danos

Comece descobrindo que consequências/danos o envio equivocado pode ter. Que tipo de dados foram incluídos na mensagem? De que forma isso pode causar danos a você ou à reputação da sua empresa? Você disse algo insultuoso ou incriminador? Se houver algum anexo incluído, ele contém dados confidenciais ou dados pessoais?

Se você usou o recurso CC (cópia carbono) para enviar mensagens para várias pessoas ao mesmo tempo, todas elas poderão ver os endereços de e-mail umas das outras. Recomendamos analisar o que o destinatário não intencional pode fazer com essas informações, pois dependendo do caso, o mesmo um e-mail corporativo pode ser considerado dado pessoal.

Em alguns casos, você digita o endereço errado e o e-mail chega à caixa de entrada de um estranho. Se você não tiver certeza, descubra quem é o destinatário. Um exemplo deste tipo de erro aconteceu em 2018, quando o Commonwealth Bank of Australia desviou e-mails contendo dados confidenciais de mais de 10.000 clientes. Em vez de cba.com.au (domínio próprio), eles enviaram mensagens para o domínio cba.com, que pertence a uma empresa nos EUA.

Claro, também é comum que e-mails mal direcionados sejam enviados para alguém que já está em seus contatos. Isso acontece quando você escolhe o endereço errado nas opções de preenchimento automático oferecidas pelo Gmail ou Outlook. Você pode acabar enviando dados de clientes para um concorrente ou até mesmo para um jornalista. Seja realista sobre o que eles podem fazer com as informações que você deixou escapar. Em caso de dúvida, contate o jurídico.

3º - Notificar a equipe responsável pela segurança de dados

Isso pode ser o TI da organização ou o TI terceirizado e o encarregado de dados pessoais (DPO), para que iniciem os procedimentos contidos no Plano de Resposta a Incidentes de Segurança (PRI) ou Plano de Resposta a Violações de Dados, caso seja necessário.

Um erro aparentemente simples pode fazer com que sua empresa perca um cliente ou, pior ainda, pode torná-la legalmente responsável pelo vazamento de informações, a depender do conteúdo do e-mail, bem como das leis de proteção de dados aplicáveis.

Se o e-mail que você enviou contiver dados confidenciais ou privados de seus clientes/parceiros de negócios, não há como evitar repercussões. As Leis de Proteção de Dados existentes impõem que o responsável alerte as pessoas impactadas sobre o vazamento de dados pessoais. Consultar a equipe jurídica para descobrir se você precisa notificar as pessoas afetadas é essencial!

Embora seja constrangedor, você não pode guardar esse tipo de equívoco para si mesmo. E-mails mal direcionados são uma forma de perda de dados e é importante informar os especialistas em segurança sobre o que aconteceu. Faça isso mesmo que pareça que o e-mail não continha nada prejudicial ou confidencial.

Assumir o erro demonstra sua integridade profissional. Lembre-se de que a transparência na comunicação sempre gera confiança.

4º - Retornar a mensagem ao destinatário equivocado com uma retratação e orientações de conduta

Ninguém é perfeito. Todos cometemos erros. A chave está em lidar com eles de forma adequada.

Retornar uma mensagem ao(s) destinatário(s) equivocado noticiando o erro e retratando-se com elegância e profissionalismo, sempre o tornará mais receptivo à correção.

O ideal é orientar o destinatário equivocado a não ler o conteúdo do e-mail, não salvar ou encaminhar as informações nele contidas. Você também deve solicitar que ele exclua o e-mail de seus sistemas (incluindo qualquer sistema de backup) e confirme que o fez.

Entenda que o destinatário pode não fazer o que você orientar. Embora seja uma boa etiqueta o destinatário excluir as informações recebidas por engano, ele não tem a obrigação legal de fazer isso.

Em vez disso, concentre-se na conformidade da sua empresa e em qualquer outra pessoa cujas informações você possa ter vazado.

Lembre-se: prevenção é a ÚNICA boa opção

Quando essas situações ocorrem (e ocorrem muito!)  única coisa que você pode fazer é confiar na boa vontade do destinatário... e começar a se preparar para quaisquer consequências (perda de clientes, passivo judicial, penalidades administrativas e regulatórias, etc) além da situação incômoda e constrangedora que você terá que passar.

Além implementação de políticas e treinamento de colaboradores para as boas práticas de envio de e-mails, redução do volume de informações confidenciais compartilhadas por e-mail ao estritamente necessário, diretrizes sobre quais informações confidenciais podem ser compartilhadas por e-mail e em quais circunstâncias, existem ferramentas que entregam soluções capazes de acompanhar a jornada do e-mail, recuperar um e-mail, bloquear um arquivo anexo a um e-mail (é possível bloquear o arquivo remotamente após o envio do e-mail, ou seja, mesmo que o destinatário tenha visto o e-mail, o conteúdo e seu anexo tornam-se indisponíveis para ele), bloquear um destinatário e bloquear uma mensagem de e-mail inteira, independentemente do provedor de e-mail que se esteja usando, se Gmail ou Outlook.

Esse tipo de solução, naturalmente, exige investimento por parte da empresa, entretanto, é altamente recomendável.

Se isso não for possível, recomendamos implementar a criptografia de e-mails durante a transmissão.

Independentemente de ferramentas, os times das empresas devem ser treinados para entender o papel fundamental que desempenham na proteção das informações pessoais e confidenciais que a organização possui.

Se você tem interesse em deixar a sua empresa em conformidade com a LGPD, conheça meu trabalho como DPOaaS

Você também pode comprar agora o meu treinamento: Fundamentos da LGPD