Hoje chegamos ao 15º Dia Internacional da Proteção de Dados, um dia que tem como objetivo aumentar a conscientização e promover boas práticas de proteção e privacidade de dados em todo o mundo.
O ano passado viu grandes mudanças que impactaram o cenário de privacidade e proteção de dados no Brasil, devido à entrada em vigor da Lei Geral de Proteção de Dados, e das indicações para a Autoridade Nacional de Proteção de Dados (ANPD). A LGPD implica que, independentemente do setor, qualquer empresa, ou pessoa física, com fins econômicos, que trate dados pessoais deve priorizar a privacidade e proteção de dados.
As sanções associadas ao não cumprimento são pesadas, para dizer o mínimo, e o dano potencial à reputação da marca pode ser ainda mais caro. Ainda assim, vimos grandes marcas, incluindo empresas como a SERASA, tropeçarem em sua jornada de privacidade e proteção de dados. Onde estão os principais pontos de vulnerabilidade, nas empresas, com relação às suas adequações à LGPD?
- Encontrar os dados não é fácil. A proteção de dados é complexa e envolve equipes multidisciplinares, tecnologias e sistemas que trabalhem em sinergia. Um dos primeiros obstáculos enfrentados é a consolidação de um relatório de avaliação de dados, que exige que as organizações localizem todos os dados pessoais que estão tratando, e documentem como os dados são coletados e tratados. Esta avaliação detalhada deve ser mantida atualizada e pronta para inspeção regulatória ou auditorias de conformidade. No entanto, muitas empresas acham difícil localizar esses dados. Quando você é uma grande empresa, isso pode levar mais do que apenas uma ligação para o seu departamento de TI e pode levar semanas – até meses – de investimento.
- Adotar as tecnologias corretas. Talvez o tópico mais significativo com relação a isso seja o fato de que a LGPD exige que qualquer organização deve comunicar à LGPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. As empresas devem notificar os incidentes em prazo razoável, que será definido pela ANPD. As organizações devem ser capazes de dizer quais dados foram violados, quantos registros foram afetados, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial. Qualquer organização sem soluções de tecnologia fortes terá dificuldade para fornecer as informações solicitadas no prazo.
- Falha em controlar o acesso aos dados. Limitar o acesso a certas informações e garantir que o acesso seja autorizado e reflita todas as mudanças dentro da empresa é uma etapa crítica na proteção de dados que muitas organizações tendem a negligenciar. É importante analisar as políticas de coleta, manuseio, uso de dados de teste, retenção e destruição de dados, e de maneira mais genérica, respeitar o ciclo de vida dos dados pessoais. Em cada ponto, o acesso deve ser feito com base na necessidade de conhecimento. Os usuários não devem ter permissão para acumular direitos de acesso à medida que são promovidos ou movidos lateralmente dentro de uma organização. Contas privilegiadas, incluindo DBAs, Administradores e contas de serviço, devem ser monitoradas cuidadosamente para garantir que não sejam usadas para ignorar políticas. Não fazer isso levará inevitavelmente a consequências desastrosas. Pode haver muitos motivos pelos quais a estratégia de proteção de dados de uma organização não é adequada, mas eles residirão em algum lugar com processos, pessoas e tecnologia inadequados ou ineficazes. É fundamental estar ciente das armadilhas potenciais e trabalhar ativamente para práticas de privacidade e proteção de dados mais robustas.
Com LGPD, General Data Protection Regulation (GDPR), ou não, o Dia Internacional da Proteção de Dados deve ocorrer todos os dias em nosso cenário de negócios orientado por dados.
Referência Bibliográfica
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 28 jan. 2021.