A LGPD (Lei Geral de Proteção de Dados) foi baseada na lei europeia GDPR, General Data Protection Regulation e tem como intuito regulamentar o tratamento de dados de pessoas por parte das empresas. A Lei foi sancionada em 14 de agosto de 2018, e ajuda, de certo modo, as ações das companhias nacionais dentro e fora do país, visto que, simplifica a forma de governar e de tomar atitudes relacionadas à segurança da informação.
Apesar das semelhanças ajudarem na parte administrativa do novo momento, muitas empresas não estão preparadas para essas mudanças relacionadas a LGPD. Uma pesquisa realizada em março deste ano pela Serasa Experian, mostra que cerca de 85% das companhias não estão entabuladas para seguir todos os requisitos da Lei. Essa pesquisa que envolveu executivos, gerentes, diretores e C-levels de 508 pequenas, médias e grandes empresas, de 18 ramos da economia brasileira, revela que ainda existem muitos desafios a serem superados.
Em vista disso, as alterações que estavam previstas para fevereiro de 2020, agora com a Medida Provisória 869/2018, só passam a entrar em vigor a partir de agosto de 2020. A dilação de quatro meses a mais, dá um espaço de tempo para que as companhias possam se adequar ao contexto legal e não se tornarem os primeiros registros da LGPD.
O fato é que, com o crescimento da tecnologia, cresce também a quantidade de informações e, por consequência, a superfície de ataque e o risco de vazamento de dados e informações sensíveis. Mesmo com investimentos em diversas soluções para a proteção de dados, os riscos estão cada vez mais presentes.
Um relatório do primeiro semestre de 2019 da Palo Alto Networks, revelou que há mais de 34 milhões de vulnerabilidades em ambientes de nuvem na AWS, Azure e GCP. Porém, estas brechas não estavam na infraestrutura de nenhum dos três fornecedores, mas sim das empresas que subiram aplicações e arquivos nestas nuvens públicas.
Deste modo, se fez necessário a criação de uma norma que passasse mais segurança aos usuários para confiarem os seus dados as empresas. A nova lei no país garante que, caso alguma organização sofra uma violação, esta deverá ser informada, indicando publicamente a extensão do vazamento de dados pessoais. Se por um lado isso demonstra um alto nível de transparência, por outro pode ferir a confiança dos clientes.
No caso de um roubo de informações confidenciais, a corporação terá 72 horas para avisar as autoridades sobre o ocorrido, se não estará sujeita a multas pesadas. Tal consequência monetária pode chegar até R$50 milhões, ou 2% da receita.
Também devemos lembrar que regras de compliance serão modificadas e grandes empresas exigirão a conformidade de fornecedores com a LGPD, assim como aconteceu com a GDPR.
Para evitar que isso aconteça com as empresas brasileiras, é preciso seguir alguns preceitos. Um deles é conhecer os tipos de dados que sua empresa coleta/trabalha/armazena, visto que, ajuda na organização e na construção de um mapa visual de todas as informações.
Gerenciamento de dados é um ponto fundamental, pois dá a visibilidade do ciclo de vida do arquivo na empresa, o modo como é compartilhado e utilizado entre todos os setores, além de ter uma ação rápida caso haja uma violação. Por isso, gerenciamento também é uma forma de proteção.
Nesse novo processo é importante que tudo seja documentado. As empresas precisam comprovar o porquê de determinados dados como nome, CPF, RG, entre outros, foram coletados. E caso precisem corrigir alguma informação, ela também precisa ser transparente.
Por fim, considere buscar as novas tecnologias que ajudem a assegurar a proteção de dados e consequentemente garantir a confiança dos clientes da marca.
Falta menos de um ano para que a LGPD entre em vigor. Sua empresa está se preparando para os novos tempos?
Leonardo Fagnani, services manager da NetSecurity.