LGPD: o que é preciso para manter seus processos em segurança? Por Ricardo Rodrigues*
/ A segurança de dados sempre foi um elemento crítico no universo digital e sua aplicação se tornou ainda mais indispensável nos últimos anos, desde que a Lei Geral de Proteção de Dados (LGPD) foi criada em 2018. O regulamento entrou em vigor em setembro de 2020 e visa proteger os direitos de liberdade e privacidade, criando normas a serem seguidas por empresas e governos para a coleta e tratamento de dados pessoais (como nome, CPF e endereço) e dados pessoais sensíveis (como biometria e informações sobre política e religião).
Com base no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a legislação brasileira prevê o processamento de informações pessoais no País. Ou seja, cria um cenário de segurança jurídica ao padronizar as práticas de proteção dessas informações.
Consequentemente, todo esse processo para manter os dados pessoais em segurança resulta na construção de uma base para reduzir a gravidade ou até mesmo mitigar os incidentes de vazamento de informação. Ainda assim, é preciso reconhecer que sua implementação é um grande desafio, pois as empresas e agências governamentais no Brasil estão em diferentes níveis de digitalização.
O que mudou no último ano e meio?
Com o atual cenário de distanciamento social que estamos vivendo, que implica em situações de trabalho remoto, temos como consequência um fluxo maior de transferência de informações e de arquivos, que demandam mecanismos de proteção efetivos. Muitos processos que antes aconteciam de maneira privada dentro do escritório, como, por exemplo, a assinatura de um contrato estratégico pelo CEO, já não ocorrem mais no ambiente físico. O que era manual foi digitalizado e grande parte das transações, mesmo as de documentos críticos, está sendo feita por e-mail ou por outros sistemas de transferência.
E a grande questão é: quem ou o que garante que essas informações, constantemente em trânsito digital, estão protegidas e seguras? Nas questões de vazamento de dados, diferentemente do que acontece em casos de ataque ransomware, nos quais as informações podem ser restauradas por meio do backup e, mesmo com algumas perdas, tudo volta a “funcionar”, é impossível desconsiderar danos maiores no longo prazo. Depois que os dados vazam e chegam ao conhecimento de pessoas mal intencionadas, não é possível retroceder o feito, e um dos pontos mais preocupantes é não ter controle de onde aquelas informações podem parar.
Por isso, as instituições precisam contar com parceiros de tecnologia que forneçam soluções que garantam a colaboração segura e em conformidade com as regulamentações, nas quais a segurança seja pensada não apenas como fim, mas como meio para todos os processos. Por mais que estejamos vivendo na era em que os dados são tão preciosos quanto o petróleo, é preciso avançar muito para garantir um refinamento seguro das informações.
Os inúmeros relatos de ataques cibernéticos ocorridos durante os últimos meses mostram que os criminosos não têm limite e causam impacto a diversos tipos de organizações, incluindo órgãos governamentais e do judiciário, empresas tradicionais, companhias de alta tecnologia, grandes varejistas com forte presença em vendas físicas e comércio eletrônico, e até mesmo hospitais.
Certamente estas organizações possuíam soluções de segurança para se protegerem dos ataques, ma,s ainda assim, sucumbiram. Soluções que impedem a invasão dos sistemas continuam sendo essenciais, mas não são garantia de uma operação contínua. É também necessário estar preparado e protegido conta vazamento de dados mesmo que um sistema seja invadido. Em um ambiente em que empresas e governos estão amplamente vulneráveis a ataques cibernéticos, estar mais preparado é ter vantagem competitiva e garantir o respaldo à integridade da marca.
Já existem componentes de criptografia para banco de dados Progress OpenEdge, por exemplo, que impedem que hackers tenham acesso à informação, mesmo em caso de invasão ao sistema operacional. Há também soluções de monitoramento que alertam quando algo diferente acontece na rede, identificando alterações na configuração dos dispositivos de rede, aumento do uso de capacidade de processamento ou de memória das máquinas, além de comunicação dos sistemas com a Dark Web.
Uma solução adicional é trabalhar com sistemas de transferência de arquivos que utilizem servidores como repositório de arquivos de maneira automaticamente criptografada, impedindo o acesso ao conteúdo e adicionando rastreabilidade aos dados compartilhados. Mais do que nunca, é importante reduzir os riscos e adotar soluções auditáveis, gerenciadas e seguras, bem como estender estes recursos para os usuários, parceiros e terceiros.
Enquanto a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal, não publicar o Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que norteará a aplicação das penalidades previstas na LGPD, as empresas não serão multadas, mas os avisos já estão em vigor. Contudo, isso não significa que usuários que se sintam desrespeitados por eventuais falhas de empresas não possam, dependendo do caso, recorrer à Justiça em busca de indenização.
Por isso, vale lembrar que estar preparado para proteger as informações é um importante ativo para manter a reputação da marca em segurança. Mesmo não constando nas demonstrações financeiras, o valor de reconhecimento de uma empresa é um dos mais importantes aspectos de uma organização, pois sustenta a manutenção de sua relevância. Empresas que tiverem iniciativas para se manter em conformidade com a LGPD terão êxito e se destacarão em um ambiente no qual ser confiável é essencial.