abr 9, 2021 | LGPD
Recentemente, o mundo corporativo tem discutido os benefícios e desafios das organizações ao garantir a adequação de suas operações à Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção ao indivíduo e penalidades às empresas para o não cumprimento.
Para empreendedores, o desafio é repensar os processos do negócio a partir da segurança da informação – e essa pode ser uma oportunidade de ouro para moldar a cultura organizacional. Esse é o ponto central para uma adaptação bem-sucedida, de acordo com Carolina Lagoa e Marco Lagoa, co-fundadores da WITEC IT Solutions, cuja entrevista completa à Comunidade Gestão PME da HSM Management você confere a seguir.
HSM Management: Desde que a LGPD foi sancionada, em agosto de 2018, ela vem mudando a forma de coleta e uso de dados pessoais pelas empresas, mas ainda gera muitas dúvidas de como aplicá-la na prática nas organizações. Quais têm sido os principais desafios das PMEs na aplicação da lei em seus processos e rotinas?
Marco Lagoa: O processo de adequação em si tem sido um desafio devido ao número de ações que devem ser tomadas pelas empresas, principalmente com relação a revisão de todos os processos e a forma com que se obtém o consentimento para uso dos dados.
Com a lei, o titular dos dados precisa saber exatamente para qual finalidade será usada a informação coletada. E apesar de algumas empresas acharem que basta o consentimento, a realidade é bem diferente. São muitos os pontos de atenção e ação, dos quais destaco:
- Avaliação inicial para entendimento dos atuais gaps;
- Criação de cultura organizacional;
- Implementação de processos, revisões contratuais, políticas e normas internas;
- Garantia da prática de governança e conformidade;
- Implementação de melhorias contínuas.
Destes, a criação de uma cultura organizacional de proteção de dados é um desafio em especial, pois, sem ela não há como atingir a conformidade legal, pois empresas são feitas de pessoas e pessoas são o lado mais frágil de todo o processo.
HSM Management: Como o empreendedor ou gestor de PMEs deve começar este trabalho para que sua empresa esteja em conformidade com a lei? Quais são os caminhos possíveis para empresas que não dispõem de recursos para contratar consultorias especializadas para repensar toda a cadeia de tratamento de dados pessoais?
Carolina Lagoa: Para adaptar o seu negócio à nova lei, a empresa pode iniciar pela conscientização dos colaboradores que têm acesso a dados pessoais, alertando para a importância sobre o tema e mostrando como a lei impactará em sua atividade ao lidar com informações de terceiros, promovendo discussões e palestras de conscientização sobre Privacidade e Proteção de Dados.
Além disso, o setor de TI também deve passar por uma auditoria com a implementação de soluções que possam prevenir eventuais ataques de hackers, que roubam informações para depois solicitar um resgate. O empreendedor deve ter em conta que eventuais vazamentos de dados podem gerar penalizações às empresas.
Algumas medidas devem ser adotadas, como a proteção dos dispositivos de todos os usuários com antivírus, que devem estar sempre atualizados; a adoção da criptografia de disco; a checagem das políticas de backup e a habilitação do duplo fator de autenticação em todos os aplicativos, principalmente em e-mails e em acessos aos arquivos em nuvem, como One Drive e Dropbox.
HSM Management: E quais os cuidados que devem ser tomados neste momento em que muitas organizações estão com suas operações em esquema remoto?
Marcos Lagoa: Em tempos de #anywhereoffice, modelo em que as pessoas façam suas tarefas em qualquer lugar, de maneira remota, é muito importante se preocupar quais redes estão sendo utilizadas pelos colaboradores, evitando conexões em redes desconhecidas que podem estar monitorando seus acessos. Outro item é a criação de um Comitê de Privacidade, para o qual devem ser selecionados profissionais de diferentes áreas, que tenham o conhecimento de todos os processos dentro do setor.
O empreendedor deve, também, nomear ou contratar o encarregado de dados (DPO), que será a pessoa responsável legalmente por comandar as atividades de proteção de dados dentro da empresa e será o representante direto junto à Autoridade Nacional de Proteção de Dados (ANPD).
HSM Management: De que modo as empresas podem aproveitar este momento de adequação à LGPD para repensar seus processos e evoluir com a gestão de dados em seus diferentes ambientes?
Carolina Lagoa: Para o processo de adequação, as empresas terão que investir em pessoas qualificadas, treinamento da equipe, atendimentos relacionados à situação dos dados pessoais de clientes e fornecedores, bem como na organização de um banco de dados centralizado e seguro, que garantirá o acesso mais rápido às informações.
As oportunidades de evolução também surgem com a transformação digital, que contribui com a segurança da informação e com a criação de uma cultura colaborativa, fazendo com que diferentes áreas trabalhem de forma conjunta, visando o tratamento seguro de dados, a transparência e, consequentemente, a confiabilidade nas relações comerciais.
Para finalizar, reforçamos a nossa crença de que um dos pontos mais importantes para as startups e PMEs é desenvolver em sua equipe uma cultura de entendimento sobre segurança e proteção de dados, esclarecendo e reforçando que os dados pessoais são um ponto crítico que podem impactar profundamente no negócio.
Não há como pensar em garantir e proteger a privacidade, sem que antes todos entendam que a segurança da informação é o pilar inicial. Esse cuidado com o tema tem que permear treinamentos, processos, investimentos e as ações das organizações de modo geral. Se foram pensadas de forma estratégica, todas essas ações podem contribuir, e muito, para uma gestão mais eficiente não só dos dados pessoais, mas da empresa como um todo.
Saiba mais sobre os desafios que os empreendedores enfrentam no Brasil na Comunidade Gestão PME.
Fonte: https://www.revistahsm.com.br/post/a-lgpd-e-a-protecao-de-dados-nas-pmes
out 2, 2020 | LGPD
O uso indevido de dados pessoais gera danos muitas vezes irreversíveis para uma organização e, como resultado, está cada vez mais crescente o número de leis e regulamentações.
No Brasil, podemos citar, por exemplo, a Lei Geral de Proteção de Dados (LGPD) que entrará em vigor em agosto deste ano.
A proteção de dados pessoais surgiu como uma maneira de regular a utilização da informação pessoal durante o seu tratamento. Ou seja, nos vários processos em que os dados são submetidos depois de colhidos.
Mas afinal, o que são dados pessoais?
Uma informação é considerada dado pessoal quando ela permite a identificação, direta ou indireta, da pessoa por trás do dado. Exemplos mais simples são: nome, data de nascimento, documentos pessoais, endereço, telefone, e-mail e entre outros.
Saiba quais são os países com maior proteção de dados pessoais do mundo
Muitos países ao redor do mundo se asseguraram de garantir esse cuidado porque sabem da importância de ter regulamentações específicas para proteger os dados pessoais.
Foi selecionado os principais exemplos de locais que estão tendo resultados a partir da proteção de dados para você compreender o que já está sendo feito fora do Brasil.
União Europeia
Após um ano e meio do General Data Protection Regulation (GDPR) entrar em vigor na União Europeia, esse já é considerado o maior conjunto de normas de proteção à privacidade online já criado. Os cidadãos europeus têm o direito de saber quais informações as empresas estão coletando sobre eles e para quais objetivos.
O GDPR influenciou legislações em todo o mundo devido ao alto padrão no processamento de dados pessoais, inclusive o Brasil.
Todo esse reconhecimento também pode ser explicado pela aplicação extraterritorial.
Com o GDPR, todos os países que lidam com informações pessoais de cidadãos europeus precisam processar os dados pessoais. Além disso, as autoridades da União Europeia também estão aptas a realizar investigações de conformidade, garantindo o nível adequado de proteção de dados pessoais.
Estados Unidos
A Lei de Privacidade dos Consumidores da Califórnia, intitulada Califórnia Consumer Privacy Act (CCPA), é a primeira lei abrangente de privacidade nos Estados Unidos. A principal mudança que a lei traz é que os cidadãos da Califórnia têm mais direitos sobre os seus dados. Ou seja, a lei concede às pessoas os direitos de acessar dados, de saber como eles são usados e de proibir o uso deles.
As empresas regulamentadas pelo CCPA terão várias obrigações para esses consumidores. Entre elas, incluindo comunicados, regulamentação geral de proteção de dados (RGPD), como direitos de assunto de dados do cliente (DSRs) e também uma recusa para determinadas transferências de dados e um consentimento requisito para menores.
Japão
O Japão teve sua primeira lei de proteção de dados criada em 2003. A Act on the Protection of Personal Information (APPI) foi atualizada em 2015 e teve as novas regras aplicadas a partir de de 2017, um ano antes da GDPR.
A regulamentação é aplicada em dois tipos de dados, as informações pessoais e as informações que requerem cuidados especiais. Assim como na União Europeia, empresas que não tratarem os dados dos japoneses de forma adequada também podem sofrer sanções.
No país, os cidadãos têm o direito de pedir a revisão e a exclusão de seus dados se acharem necessário. Assim como também poderá ser possível no Brasil com a Lei Geral de Proteção de Dados (LGPD).
Argentina
A Argentina possui leis específicas para proteção de dados pessoais desde 1994. Atualmente, está em vigor a Lei de proteção de dados pessoais 25.326 (LDPA). Além do Decreto regulamentar 1558/2001 e outras disposições da Diretoria Nacional de Proteção de Dados Pessoais.
A LDPA foi criada de acordo com o modelo legislativo europeu e fez com que a Argentina tenha sido o primeiro país da América Latina a alcançar uma qualificação de adequação para transferências de dados da UE.
A legislação atual protege os dados pessoais armazenados em todas as plataformas de processamento, públicas e privadas. E também os argentinos podem acessar suas informações em bancos de dados públicos.
Brasil terá LGPD implementada em agosto
Em agosto deste ano, entrará em vigor a Lei Geral de Proteção de Dados (LGPD) no Brasil. A legislação estabelecerá regras mais claras sobre o tratamento de dados pessoais por aqui.
Apesar da ausência de uma lei específica para regulamentar a proteção de dados no país é importante destacar que existem leis setoriais que incluem algumas questões a respeito da proteção de dados pessoais. São elas:
- Código de Defesa do Consumidor: O código concede alguns direitos de privacidade para acessar e corrigir dados do consumidor;
- Marco Civil da Internet: O marco regula o processamento de dados pessoais, incluindo a obtenção, armazenamento, retenção, processamento e transferência de dados pessoais;
- Código Penal: O código, modificado pela Lei nº 12737/12, também conhecida como lei do cibercrime, também cobre certos aspectos relacionados à privacidade dos indivíduos.
- Lei Carolina Dieckmann: A lei dispõe que é crime invadir dispositivo informático de outras pessoas com o fim de obter, adulterar ou destruir dados ou informações sem autorização ou instalar vulnerabilidades para obter vantagem ilícita.
Em todos os países que foram criadas leis e regulamentações específicas sobre o assunto o que permitiu que as organizações começassem a ter um olhar mais atento para a forma como armazenavam os dados pessoais.
Com isso, os investimentos em segurança foram redobrados e trouxeram um ótimo retorno para as empresas.
Compartilho um estudo realizado no mundo todo com os países que já implementaram leis e regulamentos específicos para a proteção de dados para que você compreenda as vantagens que a LGPD vai trazer para o nosso país.
Estudo mostra as vantagens das leis e regulamentos de proteção de dados
Uma pesquisa publicada pela Cisco, chamada Data Privacy Benchmark Study 2020, mostrou as práticas de privacidade no mundo todo e as vantagens para as empresas que já adotaram práticas para redução de riscos relacionados a segurança dos dados.
O estudo foi realizado em 13 variados países com mais de 2.800 profissionais de segurança em organizações dos mais diversos portes e, a partir dele, trouxe alguns insights do resultado que esse investimento está trazendo:
- As organizações, recebem em média benefícios equivalentes a 2,7 vezes o investimento que fizeram. Mais de 40% relatam benefícios que são pelo menos o dobro do que gastaram com privacidade;
- Mais de 70% das organizações (ano passado o dado era 40%) afirmam obter vantagens comerciais significativas dos esforços em privacidade.
Esses benefícios estão correlacionados com conformidade, incluindo mais agilidade, maior vantagem competitiva e mais atratividade para os investidores, e maior confiança do cliente;
- Companhias com pontuações mais altas em responsabilidade (de acordo com a avaliação a Accountability Wheel do Centre for Information Policy Leadership, que estrutura o gerenciamento e a avaliação da maturidade organizacional, relatam menos custos com violações, atrasos menores nas vendas e retornos financeiros mais altos;
- 82% das organizações veem as certificações de privacidade como um fator de compra. Certificações de privacidade como ISO 27701, Privacy Shield UE/Suíça-EUA e o sistema APEC Cross Border Privacy Rules estão se tornando um fator de compra relevante quando se escolhe um fornecedor terceirizado. Índia e Brasil lideram a lista, com 95% dos entrevistados concordando que certificações externas agora são um fator importante.
Quais são as melhores práticas para a segurança da minha empresa?
Separei algumas dicas do que você pode fazer para proteger o seu negócio e que também estão diretamente relacionadas às exigências do Capítulo VII da LGPD, que fala sobre os requisitos mínimos Da Segurança e do Sigilo de Dados e também Das Boas Práticas e da Governança:
- Identifique os ativos tecnológicos, internos e externos, da sua empresa (a grande maioria dos dados que a empresa possui estão armazenados ou trafegam nesses ativos);
- Execute scans de vulnerabilidades diariamente e com diferentes escopos (isso te dará maior visibilidade e velocidade na identificação dos vetores de riscos);
- Responda aos alertas e incidentes de segurança com visão de DPO (foco no negócio e na privacidade) ;
- Priorize a remediação das vulnerabilidades considerando seu impacto no negócio (muitas vezes eliminamos vulnerabilidades que têm pouco impacto no negócio, o que pode ser improdutivo e arriscado)
- Analise os relatórios e dashboards que te deem visão de Risco Técnico, mas também de Risco Negócio.;
Seguindo esses processo continuamente, com certeza você terá mais condições de proteger os ativos importantes para a empresa e, consequentemente, estará mais próximo da proteção de dados que a LGPD exige que você tenha.
Como se proteger?
Através do estudo, percebemos como é inevitável realizar investimentos consideráveis para proteger os dados pessoais da empresa e entre os investimentos indispensáveis estão plataformas que fazem a gestão contínua e monitoramento das vulnerabilidades, como a EcoTrust Platform.
Com a EcoTrust, é possível reduzir os riscos de vazamento de dados pessoais e violações de segurança através de um trabalho de prevenção assertiva.
Através da ferramenta, profissionais da área de tecnologia e segurança são capazes de identificar, analisar e também entregar informações vivas sobre as vulnerabilidades de segurança digital de uma empresa de qualquer tamanho.
Você já sabe quais são as vantagens das práticas de privacidade, então está na hora de começar a focar no seu negócio. Se você ficou interessado em saber mais sobre a plataforma EcoTrust ou se precisar de qualquer dica em relação ao assunto, vamos conversar.
Não existe bala de prata, porém existem muitas soluções no mercado. Uma delas é a EcoTrust que poderá ajudar você a reduzir os riscos cibernéticos e cuidar da saúde digital da sua empresa.
por Vinicius Durbano
Fonte: https://blog.ecoit.com.br/leis-de-protecao-de-dados-pelo-mundo-como-aplicar-a-devida-prioridade-e-importancia-dos-dados-pessoais/
