Lei geral de proteção de dados
Aprovada em 10 de julho, no Senado Federal, e sancionada em 14 de agosto pelo Presidente da República, a Lei Geral de Proteção de Dados (LGPD) regulamenta a utilização, proteção e transferência de dados pessoais no Brasil. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais. A partir da assinatura da lei, as companhias têm até 18 meses para se adequarem. Os valores das multas para o descumprimento podem ir de até 2% do faturamento da empresa, limitados a R$ 50 milhões por infração.Como empresas devem se preparar?
De forma bem simplificada é possível separar 3 etapas:
Fase 1 - um levantamento de quais sistemas possuem, registram e/ou tratam dados que identificam pessoas, qual o legítimo interesse para isso bem como a efetividade dos controles de proteção aplicados.
Fase 2 - versa para garantir que o usuário consiga ter visibilidade disso, bem como a possibilidade de exclusão dos mesmos.
Fase 3 - A última etapa é a implantação da figura do EDP (Encarregado dos Dados Pessoais), que tem como requisito conhecer de Tecnologia da Informação e também de legislação. Por ser algo muito abrangente, as empresas terão até 2020 para adequar seus sistemas à nova lei, quando então passa a vigorar em sua plenitude.
Fonte: Wolmer Godoi, diretor de Cibersegurança da CIPHER.
Para o diretor de Cibersegurança da CIPHER, Wolmer Godoi, a LGPD é um avanço, pois tem a intenção de devolver ao consumidor o poder de decidir sobre suas próprias informações. “Antes da lei, pouco podíamos fazer em relação a esse fato. Com a lei, o usuário, por exemplo, pode solicitar para que o provedor do serviço exclua todos os seus dados. Ou ainda disponibilize tudo que possui sobre aquele usuário”, explica o especialista.
Ainda de acordo com Godoi, em relação ao impacto na vida de pessoas, a dinâmica será mais transparente e honesta. “Nenhum site poderá cadastrar automaticamente o e-mail de alguém na lista de envio de propaganda, por exemplo. A partir da lei, o consentimento precisa ser expresso”, diz. Já para as empresas, ele afirma que o cuidado com essas informações precisa ser redobrado. “A empresa a partir da lei tem obrigação de divulgar casos de vazamento de dados e dar essa opção de remoção dos dados de cada usuário”.
O diretor lembra que a LGPD também prevê a figura de um “Encarregado de Dados Pessoais”, que deverá funcionar como um guardião e protetor para a correta execução da Lei dentro das corporações. A principal mudança para o cidadão comum diz respeito à transparência sobre quais dados estão sendo coletados e para qual finalidade, o que trará maior poder e conhecimento do que é feito com as informações pessoais de cada cidadão.
“Outro ponto relevante é o direito ou opção de ser esquecido pelas empresas que o usuário passou a ter. Mas, para mim, o ponto mais contundente da lei é a obrigatoriedade da notificação sempre que algum vazamento acontecer com dados pessoais, tornando a relação do utilizador com quem processa seus dados muito mais transparente”, sintetiza o diretor.
Desafios e oportunidades às empresas brasileiras
O marco legal promete impactar diretamente todas as empresas que, de alguma forma, estejam envolvidas com o tratamento e armazenamento deste tipo de informação. Similar à GDPR (General Data Protection Regulation), legislação adotada recentemente pela Europa com o mesmo propósito, a LGPD estabelece a obrigatoriedade de maior transparência na coleta e direcionamento deste conteúdo, exigindo clara anuência prévia do titular e ampliando a responsabilidade sobre eventuais incidentes como vazamentos ou roubo de dados. Se, por um lado, o desafio da adequação será significativo, por outro pode estimular a formação de um ambiente de negócios mais seguro e mais atrativo para potenciais investidores.
“A proteção de dados já era exigida em maior ou menor grau em algumas instâncias, mas agora o Brasil tem uma lei específica que contempla não só a confidencialidade e integridade das informações, mas também sua disponibilidade, ou seja, quem acessa, em que circunstâncias e com qual nível de autonomia”, destaca a diretora geral da Kroll no Brasil, Fernanda Barroso.
A executiva explica que para assegurar a conformidade, as corporações terão que realizar um mapeamento completo dos processos que envolvem o tratamento de dados, identificar possíveis vulnerabilidades, implementar controles mais eficientes, adotar recursos avançados como a criptografia, monitorar continuamente os incidentes e estipular uma política de prevenção e gestão de crises.
“No ‘Relatório Global de Fraude & Risco 2017/2018’, da Kroll, constatamos que 84% dos executivos brasileiros vivenciaram algum tipo de fraude em suas empresas no ano passado, sendo que as ocorrências relativas a não conformidades ou violação a regulamentos internos estavam entre as mais frequentes, seguidas pelas fraudes financeiras e roubo ou perda de dados, mas os procedimentos exigidos pela LGPD reduzirão sensivelmente o nível de risco das operações, contribuindo positivamente para a imagem do país e das companhias nacionais no mercado internacional”, acredita.
Para a diretora da Kroll, há ainda em certa medida uma visão equivocada de que esta é só mais uma lei e que suas diretrizes não sairão do papel. No entanto, segundo a especialista, o padrão PCI-DSS, criado pelo PCI Security Standards Council, para garantir o cumprimento de requisitos mínimos de segurança para todas as empresas que atuem com processamento eletrônico de pagamentos, não é exatamente obrigatório, mas é cada vez mais solicitado como requisito básico para os fornecedores.
Isso porque o patamar de proteção obtido por quem segue suas diretrizes fez com que fosse adotado por todos os grandes players, e quem não está em conformidade já está perdendo negócios. “Espera-se que o mesmo aconteça com a LGPD e, mais ainda, que se fomente uma nova cultura, em que as empresas reconheçam que estar em compliance dá segurança, mas que estar em segurança é muito mais do que estar em compliance: é desenvolver e colocar em prática um programa abrangente e permanente de gerenciamento de riscos, envolvendo pessoas, regulamentação e reputação”, ressalta.
Responsabilidade das empresas
É difícil encontrar alguém que nunca tenha recebido um e-mail, mensagem ou telefonema indesejado sem que tivesse repassado informações àquela empresa a seu respeito. A situação pode ser ainda mais séria: envolver número de documentos e outras questões confidenciais. A partir de agora, esse tipo de problema tende a diminuir, com as penalizações previstas para as empresas que de alguma forma repassarem dados de qualquer consumidor sem autorização dele.
A norma não se restringe apenas para a comercialização destes cadastros. Também serão multadas companhias que porventura tiverem as informações roubadas através de vulnerabilidades dos sistemas de informação. E é aí que todos aqueles que lidam com o consumidor precisam estar atentos. O diretor responsável pela América Latina da Indyxa, Rodrigo Luchtenberg, comenta que o Brasil dá alguns passos para normativas severas em relação a isso. “Atualmente somos um paraíso para os hackers. Como não havia nenhum tipo de penalização, os investimentos em segurança também ficavam abaixo do necessário. Acredito que esta realidade mude a partir da Lei dos Dados”, explica.
Entre os clientes atendidos pela Indyxa, que já estão seguros em relação às informações, são os hospitais. “Atendemos mais de 200 instituições médicas que atuam com tecnologia para que os dados estejam, ao mesmo tempo, sempre disponíveis e completamente seguros”, acrescenta Luchtenberg.
Para as empresas que não sabem por onde começar a se preparar para uma nova realidade em relação aos dados dos usuários com os quais se relacionam, o especialista destaca quatro medidas:
1) Ter uma pessoa ou fornecedor responsável pela segurança dos dados. De acordo com Luchtenberg, essa questão não pode ser tratada como um tema a ser vencido. Precisa de um olhar atento e constante.
2) Investimento em camadas de segurança adicionais e certificadas.
3) Monitoramento de tentativas de acesso às informações para auditoria online e avaliação de onde os ataques vieram e de que forma o sistema se comportou.
4) Migrar os dados para a nuvem. Para Luchtenberg, uma análise simples já comprova a segurança destes ambientes já que em países onde a regulamentação é bastante severa, eles operam sem problemas. “Quando criado e administrado de maneira correta e com acompanhamento constante, essa é a alternativa mais segura”, explica o especialista.
Vantagem competitiva
O mundo da Realidade Virtual, da Internet das Coisas e do Big Data transformou os dados na mais nova matéria-prima para a produção de riquezas de um país. Consequentemente, as organizações que detêm uma grande quantidade de informações pessoais têm em mãos um valioso ativo que, se bem usado, pode gerar inovação e negócios. E a organização que melhor souber fazer uso dessas novas regras terá uma vantagem competitiva. “Será possível aumentar o nível de confiança de potenciais clientes com boas práticas de privacidade. Por outro lado, haverá mais pressão regulatória, já que exigem forte controle sobre o processamento de dados pessoais e mais medidas organizacionais. Sairá na frente quem mostrar mais responsabilidade ao utilizar os dados pessoais processados”, explica Márcia Ogawa, sócia-líder de Tecnologia, Mídia e Telecomunicação da Deloitte Brasil.
Essa responsabilidade pode significar novos negócios em setores como de saúde e segurança. A utilização de dados pessoais dos cidadãos por parte de governos e empresas privadas de segurança poderá auxiliar na composição de um sistema inteligente que identifique suspeitos ou até mesmo agilize o socorro por meio das câmeras espalhadas nas cidades.
“A adoção de uma nova lei carrega sempre consigo transformações, e com a LGPD não será diferente. Transparência, ética e uma relação ganha-ganha ditarão o ritmo dessas transformações. Num mundo cada vez mais conectado, governos, cidadãos e setores privados precisarão quebrar alguns paradigmas para acompanhar essa nova era”, comenta Rogério Dabul, sócio da área de Cyber Risk da Deloitte.
Os avanços tecnológicos mais recentes surgiram em países cujas barreiras regulatórias são mais brandas para o uso dos dados, como China e Estados Unidos. Neles há um ambiente propício para o surgimento de empresas que aprenderam a utilizar as informações de forma inteligente, criando modelos de negócios surpreendentes ou agregando com facilidade novos conceitos. “Precisamos sempre olhar os dois lados da moeda: se de um lado o cidadão poderá decidir sobre quais dados quer compartilhar, do outro, o uso consciente desses dados poderá gerar negócios inovadores”, complementa Dabul.
Para Marcia Ogawa, é preciso acompanhar de perto como o Brasil vai se posicionar: “O país já perdeu diversas batalhas tecnológicas ao longo das últimas décadas. Desta vez, não podemos perder a jornada da economia digital, calcada fortemente nesta nova ciência, a dos dados”, conclui.
Tendências em Criptografia
A empresa de sistemas de informações críticas, segurança cibernética e segurança de dados, Thales, anunciou em setembro os resultados de seu “Estudo sobre Tendências em Criptografia* de 2018 – Brasil”. O relatório, baseado em pesquisa independente do Ponemon Institute, e patrocinado por ela, reflete algumas das mudanças e dos desafios que as organizações brasileiras enfrentam devido ao uso generalizado de nuvens, à necessidade de proteger informações pessoais e a propriedade intelectual dos clientes, ao uso de múltiplos provedores de nuvens públicas e às ameaças contínuas à segurança de dados.
O estudo revela que as empresas aceleraram a adoção de estratégias de criptografia no Brasil para proteger dados ou aplicativos confidenciais – 35% dos entrevistados afirmaram ter uma estratégia de criptografia aplicada de forma consistente em toda a organização, número abaixo da média global de 43%.
Uma constatação alarmante é o fato de o país ter registrado a classificação mais alta (30%) em termos de insiders como uma ameaça a dados confidenciais. Registros financeiros (60%) e dados relacionados a pagamentos (55%) são os dois tipos de dados mais comumente criptografados, um aumento de quase 10% em comparação com o ano passado. Todavia, o Brasil teve a maior taxa de criptografia de registros financeiros.
Crescimento contínuo da criptografia na nuvem
O uso crescente de diferentes provedores de nuvem faz com que as organizações lidem com um número cada vez maior de instâncias de criptografia, levando a uma maior necessidade de pessoal qualificado para lidar com a gestão de chaves. Hoje, 79% dos entrevistados usam a nuvem para aplicativos e dados sensíveis e não sensíveis, ou farão isso nos próximos dois anos. Enquanto que 43% disseram, também, que os provedores de nuvem têm controle total de suas chaves e processos de criptografia.
45% dos entrevistados no Brasil usam mais de um provedor de nuvem pública e 56% planejam fazer isso nos próximos dois anos.
66% dos entrevistados realizam a criptografia localmente, antes de enviar dados para a nuvem, ou criptografam na nuvem usando chaves geradas e geridas localmente.
Proteção e gestão de chaves e aplicações de criptografia
Tanto as principais soluções de gerenciamento, incluindo módulos de segurança por hardware (HSMs), como as aplicações de criptografia, têm um papel importante nas iniciativas de proteção de dados. O desempenho, a imposição de políticas, o suporte a algoritmos emergentes e a gestão de chaves são os itens mais importantes à medida em que aumenta o uso de criptografia. No Brasil, o uso de HSMs deverá crescer significativamente no próximo ano para seus vários casos principais de uso, com SSL/TLS, criptografia em nível de aplicação, provisionamento de credenciais de pagamento e processamento de transações de pagamento.
“A adoção generalizada da nuvem, a crescente necessidade de proteger as informações pessoais do cliente e a propriedade intelectual, bem como o desafio contínuo de manter-se protegido contra ameaças a dados, são preocupações importantes no Brasil. As organizações precisam priorizar a implantação de estratégias sofisticadas de criptografia, caso contrário os dados e as informações sensíveis continuarão vulneráveis a novos ataques. Um dos principais achados deste estudo é que as empresas estão adotando cada vez mais a criptografia e investindo em segurança de TI para se protegerem contra ameaças internas e externas”, constata Ruben Lazo, vice-presidente da Thales para a América Latina.
“Com uma alta taxa de ataques a dados sensíveis por insiders e um uso de criptografia abaixo da média, os resultados deste relatório servem como um alerta para organizações em todo o Brasil. Para lidar com o atual cenário de ameaças, são necessárias ferramentas rápidas e escaláveis de segurança de dados, como a criptografia e uma forte gestão de políticas para evitar ameaças internas que abrangem casos de uso na empresa e na nuvem. Felizmente, hoje, existem mais opções de proteção de dados do que nunca, incluindo ter a sua própria chave (BYOK) e as suas próprias soluções de criptografia (BYOE), que permitem que as empresas apliquem a mesma solução de criptografia e gestão de chaves em diversas plataformas”, diz Roman Baudrit, AVP da Thales eSecurity na América Latina.
Leia a revista