What Goes Around Comes Around: The Resurgence of Data Breach Class Actions

As ações coletivas por violação de dados estão novamente em ascensão, com um relatório recente da Lex Machina a confirmar o que muitos profissionais de cibersegurança observaram em primeira mão nos últimos dois anos. As conclusões também reafirmam as melhores práticas de longa data: a preparação mitiga os custos e melhora as defesas quando as organizações vítimas são obrigadas a defender uma ação coletiva ou um processo regulatório.

O relatório mostra que 2.040 ações coletivas por violação de dados foram movidas em 2023 — quase três vezes o número registrado em 2022. Os réus nestes processos abrangiam uma variedade de setores, com empresas de serviços financeiros e de saúde entre as mais frequentemente visadas. Estes casos também envolvem frequentemente litígios multidistritais (MDL), como o MDL no tribunal federal de Boston, que decorre do ciberataque de 2023 envolvendo o software de transferência de ficheiros MOVEit da Progress Software.

O relatório continua listando os distritos federais com o maior número de ações coletivas de consumidores, que incluem questões relacionadas à violação de dados. Os distritos líderes foram o Distrito Central da Califórnia (onde um dos autores está baseado), o Distrito Central da Flórida (onde os outros dois autores estão baseados) e o Distrito Norte de Illinois.

Principais conclusões

Investir. As empresas devem continuar a investir em cibersegurança. Isso inclui não apenas desenvolver um programa robusto de cibersegurança para proteger a organização, mas também um programa bem elaborado de deteção e resposta a incidentes, incluindo um manual, que ajudará a organização a identificar, investigar e responder prontamente a um incidente suspeito de cibersegurança. Vários relatórios do setor, bem como evidências empíricas, mostraram que as organizações com um manual de resposta a incidentes (que foi testado por meio de exercícios simulados) não apenas mitigam o custo de uma violação de dados, mas também têm melhores defesas em qualquer litígio ou processo regulatório.
Qual é o mal? Os queixosos por violação de dados continuam a apresentar queixas em tribunais federais, apesar da (frequente) ausência de danos e da possibilidade de o caso ser arquivado por falta de legitimidade. Desta forma, os advogados dos queixosos não parecem dissuadidos pela decisão do Supremo Tribunal sobre o caso TransUnion em 2021, um caso marcante para a legitimidade neste tipo de assuntos. As empresas que enfrentam uma ação coletiva por violação de dados em tribunais federais devem, portanto, considerar, como parte de uma avaliação inicial do caso, a possibilidade de uma moção de indeferimento que inclua o argumento de que o queixoso principal não tem legitimidade, dependendo do distrito onde a ação é movida. O envolvimento precoce de um advogado externo também pode ajudar as empresas a avaliar os prós e contras relativos de se envolver em discussões de acordo antecipado ou de apresentar moções decisivas com reivindicações de direito estadual.
Risco da cadeia de abastecimento. Ataques em grande escala muitas vezes geram litígios coletivos significativos, como foi o caso do ataque à Progress Software e da violação de dados da Equifax em 2017. Esses ataques — e os litígios que muitas vezes se seguem — levantam questões interessantes envolvendo deveres para com terceiros, responsabilidade do fornecedor e prova de causalidade. Tanto a Progress Software como a Equifax, por exemplo, são partes importantes da cadeia de abastecimento em vários setores. Esses incidentes são a prova de que todas as organizações precisam de examinar minuciosamente a sua cadeia de abastecimento, independentemente do tamanho ou da reputação. As organizações podem começar por priorizar os principais fornecedores e trabalhar com advogados para analisar os contratos desses fornecedores. As organizações também devem considerar a cobertura de seguro para reclamações decorrentes de violações por parte de fornecedores ou outros terceiros.

O resultado final é que o investimento na preparação para a segurança cibernética é dinheiro bem gasto, tanto do ponto de vista da dissuasão quanto do litígio. Exercícios simulados, gestão de riscos da cadeia de abastecimento e estratégia de litígio desempenham papéis fundamentais na redução do impacto de ações judiciais coletivas por violação de dados. A nossa equipa na Foley tem experiência em todo o país na preparação, resposta e defesa de organizações que enfrentam esses riscos significativos.

Ler mais

Plataformas de monitorização remota de pacientes recebem novas diretrizes de segurança cibernética e privacidade

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.