Atualmente, o número de incidentes envolvendo o vazamento de dados pessoais cresceu consideravelmente, sejam motivados por fraudes, visando a obtenção de vantagens financeiras ilícitas, sejam por outras ações maliciosas.
Os prejuízos e os riscos relacionados a incidentes de cyber segurança têm aumentado com o passar do tempo, conforme pesquisas e dados estatísticos. “Danos causados pelo Cyber Crime até 2021 custarão anualmente ao mundo US$ 6 trilhões, acima dos U$ 3 trilhões do ano passado.” (Steve Morgan, Cybersecurity Ventures, 2017).
Frente a esse cenário, a preocupação com o tratamento, o manuseio e a proteção de dados pessoais têm crescido em todo o mundo. Novas legislações foram criadas, influenciando e remodelando o comportamento digital de empresas em diversos países. Um exemplo de norma que regula o ambiente virtual é o Regulamento Geral sobre a Proteção de Dados (GDPR) – um regulamento do direito europeu, promulgado em 2016, que discorre sobre a privacidade e a proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu.
Seguindo esta tendência e ciente da necessidade de normatização, o Brasil também estabeleceu uma lei – LGPD – Lei Geral de Proteção de Dados – que obriga as empresas atuantes em território brasileiro a estarem em conformidade quanto a proteção, a transparência, a coleta e a segurança jurídica dos dados pessoais de seus clientes/consumidores.
A LGPD é uma realidade e um grande avanço na transformação da segurança da informação e no tratamento de dados pessoais nas organizações. Ela foi sancionada em 14 de agosto de 2018 e começa a vigorar em fevereiro de 2020. Ainda que tenha se inspirado no Regulamento Geral de Proteção de Dados da União Europeia, o caso brasileiro não garantiu um período de preparação e adaptação das empresas tão extenso: enquanto o prazo europeu foi de 30 meses, para o Brasil esse período é de apenas 18 meses, intensificando o desafio da rapidez na adaptabilidade e cumprimento legal.
A LGPD aplica-se a qualquer empresa, seja ela pública ou privada, que colete ou armazene dados pessoais para oferta de produtos e serviços. Vale ressaltar que, ainda que pouco mencionado, a lei também se aplica a pessoa física que realize qualquer operação com dados pessoais cuja finalidade seja econômica.
O texto normativo prediz que qualquer dado que permita identificar o usuário final deva ser protegido, ou seja, atributos como nomes, endereços, números de telefones e celulares, números de documentos, localização, etc. são considerados pela lei como dados pessoais. Há ainda outro grupo de dados considerados sensíveis e que merecem proteção: raça, gênero, posição política, religião, filiação social, dados de saúde, etc. que também devem receber o mesmo tratamento. Adicionalmente, todos os dados referentes a menores (crianças e adolescentes) devem receber tratamento diferenciado.
Em qualquer momento, o titular dos dados pessoais tem o direito de:
- Confirmar se e como os dados pessoais são tratados
- Acessar os dados
- Corrigir os dados
- Anonimizar, bloquear ou eliminar os dados
- Transportar os dados para outro fornecedor
- Eliminar os dados pessoais tratados com o consentimento
- Revogar o consentimento
Lei Geral de Proteção de Dados
Com a intenção de inibir o cyber crime, estimulando as empresas a melhor protegerem os dados que manuseiam, a lei estabeleceu sanções que pesarão no bolso da organização: cada vez que uma infração ocorrer a empresa estará sujeita a multa de até 2% do seu faturamento do ano anterior, sem considerar os tributos, limitado a um teto de R$ 50 milhões. Ainda que a multa seja percebida pelas empresas como a sanção mais sensível, visto seu caráter pecuniário, é preciso ressaltar que há outros prejuízos em questão, e que ainda que imensuráveis merecem atenção das organizações, dado seu alto impacto ao negócio: má reputação, bloqueio e eliminação dos dados pessoais dos clientes/consumidores, exposição midiática negativa, perda da confiabilidade do cliente e do valor da marca.
Como podemos ajudar nessa jornada?
Trabalhamos uma solução simples, objetiva e eficiente que garante que as empresas tenham sucesso neste desafio de segurança, proteção e manuseio de dados.
1⁰ fase (Consentimento de dados) – nesta fase o cliente/consumidor autoriza que a empresa tenha posse e grave suas informações pessoais.
2⁰ fase (Gestão de compliance) – nesta fase é possível identificar em que nível de maturidade a empresa se encontra para a adequação a lei, necessário descobrir onde se encontram os dados pessoais nos sistemas e garantir que os dados estão sendo utilizados corretamente com validação jurídica.
3⁰ fase (Auditoria) – fase de monitoração das integrações dos sistemas, geração de relatórios para possíveis auditorias e melhoria continua.
Artigo elaborado por Pedro Miyahira, profissional com mais de 20 anos de experiência em tecnologia e especialista em Cyber Segurança.