A transformação digital é inevitável e exerce um impacto evidente no segmento de energia. Automatização dos controles de segurança das instalações físicas, aplicação de smart grids e Internet das Coisas, monitoramento da disponibilidade dos serviços com o uso de algoritmos e tokenização são alguns dos muitos recursos tecnológicos aplicados para otimização do negócio.

São muitos os benefícios decorrentes desse movimento, mas sua sustentação está diretamente relacionada à adoção de medidas capazes de mitigar os (diversos) riscos.

Além dos riscos financeiros e reputacionais, a transformação digital traz riscos operacionais atrelados ao uso de recursos cada vez mais automatizados. Incidentes cibernéticos podem comprometer a prestação de serviços, prejudicando a relação com os consumidores e os contratos da organização com o poder público, parceiros e fornecedores.

É essencial adotar estratégias de mitigação de ordem técnica. Isso inclui medidas de criptografia, gestão de acessos e controles de segurança, proteção de dados para Internet das Coisas e outras ações de compliance. Entretanto, para demonstrar sua eficácia e existência para fins jurídicos, é preciso ter o registro adequado dos procedimentos adotados pela empresa.

Ainda que haja empenho da organização internamente com o tema, ela poderá ser impactada se outro elo da cadeia de fornecimento do serviço for comprometido. É imprescindível, portanto, fazer a avaliação prévia dos parceiros e fornecedores em relação às suas políticas e práticas em programa de segurança da informação, bem como formalizar em contrato responsabilidades e mitigadores de risco.

A Resolução 964/21 da Agência Nacional de Energia Elétrica (Resolução Aneel 964/21) dispõe sobre o tema e reforça a necessidade de registrar as medidas adotadas em segurança da informação.

Em caráter preventivo, o normativo estabelece que os agentes do setor de energia elétrica elaborem uma política de segurança cibernética e dispõe sobre seu conteúdo mínimo. A resolução exige que se faça a comunicação de incidentes à Aneel, incluindo análise de causa e impacto. Isso requer registro de evidências para assegurar a validade jurídica e a avaliação do caso com base na regulamentação aplicável.

A abordagem setorial não afasta outras providências exigidas em lei, como a notificação do incidente à Autoridade Nacional de Proteção de Dados (ANPD), caso dados pessoais tenham sido comprometidos e possam acarretar risco ou dano relevante aos titulares.

Outra questão cada vez mais relevante no setor de energia se refere à tokenização e ao uso de tecnologias de registro distribuído (como blockchain).

O setor energético tem desenvolvido projetos inovadores que vão desde a tokenização de créditos de carbono até a utilização de blockchain para rastreio de energia limpa. Embora grande parte das aplicações de blockchain não seja regulada, sua implementação deve observar cuidados essenciais em relação à prevenção à lavagem de dinheiro, segurança da informação, entre outros aspectos.

O Machado Meyer está preparado para lidar com as necessidades do setor, considerando as características de cada negócio e a regulamentação aplicável. Podemos fornecer mais orientações sobre o tema.