A tecnologia cria mundos que transformam e reinventam as relações e as atividades humanas, o que, claro, engloba os negócios. Esse mar de oportunidades traz consigo um cardume de ameaças. Os sistemas de proteção, por sua vez, se nutrem das mesmas fontes, que são, além do engenho humano, a tecnologia

É tão simples que às vezes a gente nem se dá conta que fez: ao acessar um site, registramos ali e-mail, nome completo, telefone e, em muitos casos, até números de documentos pessoais. Os dados são exigidos para assinar serviços, comprar produtos online ou simplesmente para usar uma rede social. 

O compartilhamento de dados é uma prática que não deixa de ser natural — e que já existia antes da digitalização do mundo, é importante destacar. Por exemplo, quando você vai numa academia ou numa escola de idiomas e faz sua matrícula, é natural deixar seus dados por lá. O problema dos dados no ambiente digital é a possibilidade (muito maior) de vazamentos. 

No começo de 2022, o Banco Central comunicou o vazamento de dados pessoais de 160 mil pessoas: foram expostos nome, CPF, instituição bancária, número da agência e conta. Já em janeiro de 2021 ocorreu o maior vazamento de dados da história do Brasil, quando foram afetadas 223 milhões de pessoas — número maior que a população do país, o que indica o vazamento até de dados de brasileiros já falecidos. Um levantamento da Surfshark mostra que, em 2021, o Brasil foi o sexto país do mundo no ranking de vazamentos de dados pessoais.

LGPD, dados, cibersegurança
“As empresas precisam ter a consciência de que os dados pertencem aos titulares. Quando uma pessoa fornece suas informações para o cadastro de uma loja, os dados não são da loja, são de propriedade do titular dos dados”, Mario Toews, da Datalege Consultoria Empresarial.

“A proteção de dados pessoais é algo que deve ser tratado, avaliado e aperfeiçoado

constantemente”, defende Ueric Melo, gerente de aplicações e especialista em privacidade na Genetec. Ele alerta que a transformação digital não é um processo reversível e que, por isso, é preciso proteger os dados. “O aumento da digitalização e, consequentemente, o crescimento no volume de dados gerados é exponencial e não há indicadores de que esse cenário se reverta no futuro, especialmente com a chegada iminente do 5G”, completa. 

O que é LGPD e quando a lei entrou em vigor

Hospitais inteligentes conseguem buscar informações sobre pacientes assim que eles entram no pronto atendimento, das comorbidades às alergias, dos tratamentos anteriores aos resultados de exames. Assim, a velocidade de atendimento aumenta e vidas são salvas. Esse é só um exemplo de como o uso dos dados no ambiente digital é uma ferramenta importante de inovação, mas o compartilhamento de dados também pode ser revolucionário em outras áreas, como a educação e as finanças — o PIX é outra prova disso. 

O desafio é impedir que os mesmos dados que podem simplificar e até salvar vidas caiam nas mãos de cibercriminosos. Foi por isso que o Congresso Nacional aprovou, em 2018, a Lei Geral de Proteção de Dados Pessoais, também chamada de LGPD. A lei regulamenta a coleta, o armazenamento, o tratamento e a proteção de dados pessoais em plataformas físicas e digitais. A LGPD entrou em vigor em setembro de 2020, trazendo mais segurança para os usuários e uma carga de responsabilidade para as empresas. Para completar, em fevereiro de 2022, o Senado promulgou a Emenda Constitucional 115, que transformou a proteção de dados pessoais em um direito fundamental. 

Descumprir a LGPD pode custar caro. E a Autoridade Nacional de Proteção de Dados está habilitada para aplicar multas desde agosto de 2021, após o término do prazo de quase um ano, determinado pelo Congresso para a adequação das empresas. A legislação diz que as multas são escaláveis: vão desde uma simples advertência até 2% do faturamento da empresa, não ultrapassando R$ 50 milhões por infração. Há penalidades ainda mais severas, como a suspensão e proibição das atividades da empresa que envolvam o tratamento de dados. O valor recolhido em multas é destinado ao Fundo de Defesa de Direitos Difusos.

“As empresas precisam ter a consciência de que os dados pertencem aos titulares. Quando uma pessoa fornece suas informações para o cadastro de uma loja, os dados não são da loja, são de propriedade do titular dos dados. É preciso garantir a segurança dos dados e entender que informações têm um valor muito grande”, diz Mario Toews, especialista em segurança da informação e sócio da Datalege Consultoria Empresarial. 

tecnologia, dados, cibersegurança, LGPD
“Existem diversas ferramentas tecnológicas que podem ajudar no mapeamento de dados, mas o investimento em capacitação, programas de conscientização e educação e o patrocínio da alta diretoria aos profissionais de privacidade são investimentos essenciais para um bom programa de proteção e privacidade de dados”, Ueric Melo, da Genetec.

Ueric Melo garante que um dos efeitos colaterais da LGPD é o aumento da consciência sobre o valor dos dados pessoais. “Ainda que muitas empresas já tenham iniciado a jornada de adequação à LGPD e a maturidade em relação à privacidade de dados pessoais tenha aumentado consideravelmente nos últimos anos, acredito que ainda exista um longo caminho a ser percorrido até que se possa afirmar que as companhias estão plenamente preparadas para tratar, incluindo proteger, adequadamente dados pessoais”, defende. 

A posição dele é compartilhada por outros especialistas. “Com a entrada em sua vigência plena, a LGPD trouxe uma definição muito clara de como as companhias precisam proteger os dados de seus colaboradores e seus clientes. Mas muitas empresas não estão preparadas para isso. Ainda acham que é uma novidade, mas desde o marco civil da internet já havia essa previsão legal de proteger os dados e orientar os próprios clientes na coleta”, diz Mario Toews. 

Ele destaca que a pandemia representou um novo desafio na proteção dos dados, por conta da necessidade de transferir postos de trabalho para o ambiente remoto. O governo emitiu uma série de Medidas Provisórias para regulamentar o trabalho no contexto da emergência sanitária. “Por exemplo, a empresa é responsável por fornecer os meios e os equipamentos para o trabalho remoto. Mas, na prática, muitas companhias não tomaram esses cuidados, e os funcionários em home office utilizam seus próprios equipamentos, que às vezes são compartilhados com filhos e o restante da família”, aponta Toews, lembrando que isso deixou a proteção dos dados mais fragilizada. 

Agora, dois anos após o começo da pandemia, o cenário está um pouco mais maduro. “É importante que a empresa garanta a proteção dos dados também no ambiente remoto. Isso é feito por meio de conexões seguras, utilizando VPN, que é um canal de comunicação entre o computador do funcionário e a empresa. E pelo uso de computadores fornecidos pela empresa, com softwares legalizados e um controle de quais arquivos estão sendo trabalhados. Todos os arquivos são armazenados na rede da empresa, não nos próprios computadores dos colaboradores”, exemplifica Toews. 

Para ele, a tendência é que os titulares dos dados fiquem mais exigentes a cada dia, à medida que se acostumam aos direitos protegidos pela legislação. A comparação é com o Código de Defesa do Consumidor, que foi promulgado em 1990 e hoje é bem conhecido — e invocado — em todo o país. “Assim como foi com o CDC, as pessoas terão cada vez mais exigências. Terão mais consciência dos seus direitos e passarão a saber quais dados têm compartilhados, com quem são compartilhados, por quanto tempo permanecem na base e qual a hipótese legal de tratamento”, diz Toews. 

tecnologia, LGPD, dados
“Quando um hacker invade a rede de uma empresa, as informações comprometidas não são apenas as da organização, mas também dos clientes, que chegam a ser até mais valiosas, visto que eles depositaram sua confiança na indústria”, diz Ricardo Martins, CEO da TRIWI.

A tecnologia como braço direito para cumprir a LGPD

Se a LGPD é um desafio para empresas dos mais diversos segmentos e portes, parte da resposta está na tecnologia. Desde a promulgação da lei, o mercado brasileiro viu o surgimento de soluções e ferramentas eficientes na proteção de dados. “É preciso buscar a atualização tecnológica constante”, diz Mario Toews. Para ele, essa é a forma de fazer frente a cibercriminosos, que operam ataques mais “criativos e inovadores a cada dia, sempre apoiados por tecnologia”.  

A tecnologia sempre foi fundamental para a segurança da informação: firewalls, antivírus e backups constantes são ferramentas importantes, assim como os testes de recuperação, que precisam ser feitos com frequência, para garantir que tudo está funcionando como deveria. 

Ricardo Martins, CEO da TRIWI, destaca uma série de atitudes simples que devem ser tomadas pelas empresas e que podem torná-las mais seguras. São medidas como o bloqueio para a instalação de arquivos nos computadores, moderação na instalação de programas e o bloqueio do acesso a sites de conteúdo malicioso. A criação de uma política de senha segura, a habilitação da verificação em duas etapas, o bloqueio de computadores externos à rede e a proibição de uso de pen drives em computadores da empresa também são passos básicos. “Quando um hacker invade a rede de uma empresa, as informações comprometidas não são apenas as da organização, mas também dos clientes, que chegam a ser até mais valiosas, visto que eles depositaram sua confiança na indústria”, diz Martins. 

Mas não para por aí. “Existem diversas ferramentas tecnológicas que podem ajudar no mapeamento de dados, gestão de inventário de dados pessoais, criação de diagrama de fluxo de dados, apoiar na análise e gestão de risco, apoiar na criação de relatório de impacto de dados pessoais, gestão de identidade e acesso, prevenção de perda de dados, encriptação de dados em repouso e em trânsito…”, diz Ueric Melo, destacando que a lista de ferramentas que podem ajudar a atender aos requisitos da LGPD é imensa. 

Mas ele faz questão de lembrar que as ferramentas são só facilitadoras e que as empresas não devem basear estratégias só nelas. “Capacitação, programas de conscientização e educação e o patrocínio da alta diretoria aos profissionais de privacidade são investimentos essenciais para um bom programa de proteção e privacidade de dados”, diz ele. 

Outro ponto importante é o inventário de dados, que envolve conhecer os equipamentos utilizados, os processos, o tratamento dos dados e o armazenamento, incluindo saber quem tem acesso a eles. “É imprescindível conhecer o seu ambiente para que se possa definir as medidas de proteção adequadas”, completa Melo. Por fim, o especialista diz que as empresas devem escolher sistemas e plataformas com consciência, pensando na adequação à LGPD e permitindo que o titular dos dados exerça seus direitos a qualquer momento, dentro do prazo determinado pela lei. 

Mas e se ainda assim algo der errado? O vazamento de dados em massa, muitos deles envolvendo multinacionais bilionárias ou até governos, prova que isso pode acontecer. Por isso, é fundamental ter um plano para lidar com incidentes. “Não existe um ambiente 100% seguro, então é importante ter planos de resposta para o tratamento de incidentes de violação de dados pessoais. Assim, na ocorrência de um incidente, é possível garantir a continuidade do negócio e, principalmente, minimizar o impacto aos titulares de dados afetados”, conclui Ueric Melo.

Leia mais

“Open health”: a integração da jornada de dados em prol da saúde

A contratação de soluções e serviços de cloud computing na era da LGPD

A distância e o protagonismo da cibersegurança no mundo pós-pandemia