*Por Leandro Zilli
A informação é um dos bens mais preciosos do mundo contemporâneo, tanto que a prática da coleta massiva de dados tornou-se um negócio. As organizações entenderam que a partir destes dados seria possível realizar uma análise, criar perfis e prever tendências de mercado, este tipo de prática se transformou em uma pauta nos debates e houve um questionamento, “Qual seria o limite e como ficariam os direitos de privacidade das pessoas?”.
Mediante a este cenário, surgiram as leis de privacidade de dados, sendo a General Data Protection Regulation – GDPR (Regulamento Geral sobre a Proteção de Dados – RGPD) a percursora. A lei europeia entrou em vigor em 25 de maio de 2018 e fez com que as demais nações repensassem sobre privacidade e adequassem internamente suas respetivas diretrizes para atender a esta nova visão, tornando-se um tema central para acordos comerciais.
Com o intuito de aumentar estas relações e garantir o direito de segurança e privacidade dos dados pessoais para os indivíduos, em 14 de agosto de 2018 foi sancionada a LGPD – Lei Geral de Proteção de Dados Pessoais – que entrou em vigor em sua quase totalidade somente em 18 de setembro de 2020, tem como finalidade a regulamentação do tratamento de dados pessoais e o resguardo dos direitos básicos dos titulares. Durante este período, foi criada a ANPD – Autoridade Nacional de Proteção de Dados Pessoais – que tem como objetivo zelar pela proteção de dados pessoais e dados pessoais sensíveis, implementar e fiscalizar o cumprimento da LGPD.
A partir de agosto de 2021, depois de 3 anos de sansão, entraram em vigor as punições que estão presentes na LGPD, sendo que estas podem variar de uma advertência (por multas de até 2% do seu faturamento limitadas a R$50 milhões por infração) e até mesmo o bloqueio das operações, publicidade negativa da infração ou exclusão dos dados irregulares.
Quando falamos sobre as leis e controles, sempre vem à tona a preocupação com as sanções, mas este não é o único motivo de preocupação das organizações, o impacto significante em seus negócios e a perda reputacional impulsionada pela falta de confiança dos clientes também são pautados. O “17º Relatório do Custo de uma Violação de Dados” (2021) publicado pela IBM, fez uma análise de mais de 500 violações de dados reais em 17 países e regiões e 17 setores diferentes, através de mais de 3 mil entrevistas, quanto aos custos para o combate a violação de dados, contemplando atividades de descoberta e resposta a incidentes.
Quanto a violação de dados, o custo global médio superou os US$ 4 milhões sendo que, do total deste custo global médio, 38% são responsáveis pela perda de negócios (em torno de US$ 1,59 milhões) e os principais motivos foram a rotatividade dos clientes e a perda de receita relacionada ao tempo de inatividade do sistema.
É possível identificar que as organizações com uma postura de segurança mais madura tiveram custos significativamente inferiores em comparação com as que não investiram em tecnologias com enfoque em segurança como IA, Zero Trust, Automação de segurança e adequação em nuvem. Outro ponto interessante é que custo médio da violação de dados teve um acréscimo de US$1 milhão nos casos em que o trabalho remoto, devido a pandemia da COVID-19 foi o fator da causa da violação de dados. As organizações que apresentavam mais de 50% da sua força de trabalho atuando remotamente, levaram 58 dias a mais para identificar e conter violações de dados em comparação com as demais organizações que tiveram menos de 50% da sua força de trabalho em regime de home office.
Mas afinal, qual é a solução?
É um caminho longo a percorrer, mas deve ser iniciado pelo entendimento da lei e adequação do ambiente, conhecer os riscos e fragilidades do negócio e colocar em prática um programa de privacidade, com o objetivo de disseminar uma nova cultura e o conhecimento a todos da organização.
Esta adequação deverá ser realizada através de um mapeamento de processos com o intuito de identificar se a coleta de dados é obtida de maneira consciente e se principalmente atende a sua real finalidade definida.
Além da coleta e tratamento dos dados, para evitar o acesso indevido e possíveis vazamentos de dados, é preciso ter uma estrutura que possibilite um controle maior destes dados estratégicos, com a aplicação dos pilares de segurança da informação: Confidencialidade (dados acessados somente pelos autorizados), Integridade (dados completos e exatos) e Disponibilidade (dados acessíveis quando necessário), além da implementação de processos e tecnologias adequadas para aumentar o nível de segurança, vale lembrar que é importante que a segregação e tratativa destas informações estratégicas sejam diferenciadas das demais que podem ser qualificadas como de uso comum, devido ao seu grau de importância para a organização. Todos os controles deverão passar por revisões periódicas para que os dados estejam protegidos de acordo com novos riscos identificados e que sejam aplicadas as melhorias necessárias.
Todo este investimento de tempo e dinheiro não será efetivo caso também não exista um programa contínuo de treinamento e conscientização dos colaboradores quanto aos riscos. A presença de um DPO na organização será de grande valia, podendo atuar como um especialista quanto a proteção e ciclo dos dados na organização (coleta, processamento e descarte). O DPO irá atuar de forma estratégica na organização, monitorando e acompanhando a organização para que esta se desenvolva em conformidade com as regras e boas práticas implementadas.
Conclusão
Uma adequação a LGPD não se resume somente a lei em si, trata-se de uma séria de ações alinhadas que vão desde o entendimento da lei, adequação de controles de segurança da informação, até a mudança da cultura da organização e maturidade de seus processos de negócio.
Nem sempre é uma tarefa fácil para as empresas implementar a LGPD em seu ambiente, muitas vezes requer um grande esforço e a falta de profissionais especializados para atuar neste tema torna-se também uma fragilidade. Uma saída prática e que tem obtido bons resultados é a contratação de consultorias especializadas, estas possuem a expertise, entendimento e preparo necessário para apoiá-los nesta trajetória.
Implementar um programa de privacidade e proteção de dados, adequar a coleta das informações para o uso consciente visando atender a real finalidade e utilizar uma abordagem madura quanto a proteção destes ativos, resultará na redução de custos, maior segurança e poderá trazer uma visão dos riscos em potenciais e fragilidades da empresa. Consecutivamente trará um impacto positivo quanto a confiabilidade do mercado e na relação com os clientes, pois a organização demonstrará que se compromete quanto a proteção dos dados destes titulares.
— Leandro Zilli é Consultor GRC at [SAFEWAY] – ITIL v3
Sobre a Safeway:
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
