fbpx

O uso cada vez mais constante de aparatos tecnológicos tem ampliado as discussões acerca de alguns temas. Entre eles, podemos destacar a proteção de dados pessoais no Brasil, uma vez que as organizações têm crescentemente utilizado soluções digitais para se aproximar de seu público, aprimorar o atendimento e aperfeiçoar seus produtos e serviços.

Além disso, devido às modificações no comportamento do consumidor, a comunicação multicanal tem permitido que as empresas ofereçam conteúdos mais relevantes, incluindo materiais gratuitos em troca de informações importantes sobre seu público, como nome, e-mail, interesses, entre outros dados.

A partir de todo esse contexto surge um questionamento importante: como fica a segurança das informações? O que é necessário saber sobre esse assunto para garantir proteção aos dados dos consumidores?

Pensando nisso, elaboramos este material para que você entenda sobre a Lei Geral de Proteção de Dados, as principais diferenças entre a legislação brasileira e a internacional, assim como os desafios enfrentados pelas organizações. Você verá também como proteger os dados com algumas dicas práticas. Ficou interessado? Continue a leitura e saiba mais!

O que é a Lei Geral de Proteção de Dados?

Conforme abordado, devido aos mais variados interesses, consumidores oferecem seus dados para as empresas de diferentes formas. Ao definir a sua persona, ou seja, uma representação semifictícia do que é seu cliente ideal, a página da sua organização tem a chance de oferecer material gratuito com o objetivo de captar informações precisas sobre quem está interessado nos assuntos relacionados ao seu nicho de atuação.

Sendo assim, foi preciso criar uma legislação que pudesse orientar e regulamentar essas relações, com o objetivo de proteger tanto os clientes quanto as empresas em relação à proteção desses dados e à sua utilização de maneira correta.

Nesse sentido, a Lei n° 13.709/18, sucessora do Marco Civil da Internet (2014) e sancionada em agosto de 2018, foi apresentada com o objetivo de regulamentar a concessão e o uso de dados nessas esferas, sendo considerada uma importante inovação. Assim, foram definidas algumas regras para que as empresas permitam às pessoas ter um controle mais efetivo sobre como suas informações são utilizadas, deixando claro os direitos que elas têm.

É preciso ressaltar a importância dessa lei para as distintas atuações no país não apenas pelo aspecto econômico, mas também para destacar, de forma mais precisa, quais são os crimes cometidos por hackers passíveis de condenação e como as organizações podem atuar caso sejam acometidas por situações do tipo.

A coleta de dados

Você deve estar se perguntando: a partir dessa aprovação, como é possível que a minha empresa possa coletar e tratar esses dados sem ferir a legislação? Empresas públicas ou privadas que têm interesse em usufruir de algumas informações sobre seu público devem fazê-lo de forma clara, para que o cidadão ofereça as informações de maneira consciente.

É preciso explicar sobre a finalidade da coleta e se haverá algum tipo de compartilhamento. Em relação aos menores de idade, o recolhimento só pode ser feito mediante autorização de pais ou responsáveis, dispondo de meios para que haja essa comprovação.

A modificação dos interesses

Os objetivos e as estratégias de um negócio passam por constantes modificações. Imagine só a seguinte situação: sua empresa coletou informações com o objetivo apenas de montar uma base de contatos para oferecer conteúdos relevantes e nutrir aquele lead visando estreitar o relacionamento. Posteriormente, esse contato poderá se transformar em um negócio fechado e você então poderá investir em estratégias de fidelização.

No entanto, durante o processo, a organização decidiu utilizar aquelas informações para aperfeiçoar produtos e enviar questionários para um feedback mais preciso sobre os seus serviços. Nessa situação, torna-se necessário solicitar novamente o consentimento dessas pessoas, explicando de maneira clara sobre como essas informações serão utilizadas a partir de então.

A revogação da autorização

De acordo com a Lei Geral de Proteção de Dados no país, o usuário, sempre que desejar, pode revogar a autorização dada à sua empresa para utilizar as informações repassadas. Nesses casos, se a organização persistir no uso, estará inconstitucionalmente errada, e isso pode gerar consequências negativas para o seu negócio.

Se a decisão de maneira automatizada não for cumprida, o usuário poderá ainda solicitar uma revisão humana do processo, solicitando que seus dados sejam retirados de sua base, assim como todas as informações passadas até aquele contato.

As consequências para o descumprimento da lei

Quem descumpre a Lei Geral de Proteção de Dados no Brasil pode sofrer algumas consequências sérias, que vão ser estabelecidas de acordo com o caso e a gravidade da situação. A Justiça pode definir apenas uma advertência ou multa a ser aplicada em aproximadamente 2% do valor do faturamento — no entanto, esta última deve ser limitada ao valor máximo de R$ 50 milhões.

Como consequência, a organização também pode ter seus serviços relacionados à coleta de dados suspensos, assim como correr o risco de responder judicialmente após a análise do caso descumprido.

Quais são as principais diferenças da proteção de dados no Brasil e no mundo?

A proteção de dados de pessoas tem suas particularidades se levarmos em consideração as diferenças apresentadas entre o Brasil e os outros países. Enquanto para nós essa necessidade surgiu apenas nos últimos anos, a Europa já apresenta uma preocupação em relação ao tema desde meados da década de 1990.

No entanto, em maio de 2018, entrou em vigor a chamada GDPR, sigla em inglês para Regulamento Geral de Proteção de Dados na União Europeia. Essa legislação teve como objetivo estipular uma série de regras e medidas para garantir as melhores práticas de usabilidade de dados pessoais, seja por meio de empresas privadas, seja por meio das empresas públicas.

A função dessa reformulação visou estipular um padrão para os países europeus no que se refere à gestão de dados pessoais dos cidadãos, uma vez que, enquanto algumas nações estava bem adiantadas nesse sentido, outras não haviam definido regras, o que causava um certo desconforto.

Ao entrar em vigor, as organizações tiveram a obrigação de especificar exatamente para que os dados seriam utilizados — o que aproxima-se bastante das exigências brasileiras. Caso o consumidor acredite que alguma solicitação não está de acordo com as finalidades apresentadas, ele pode requerer que aquele negócio reduza as exigências apenas para o que é essencial.

Além disso, tem a chance de solicitar o acesso a qualquer tipo de dado que a empresa dispõe sobre ele. Assim, é possível analisar se há alguma inconsistência com o que a organização informa sobre a utilização de suas informações com o que de fato tem.

Por fim, caso haja comprometimento em relação à segurança dos dados pessoais ou a empresa tenha identificado algum acesso suspeito que tenha tido como consequência o vazamento de informações, é preciso que as autoridades e os proprietários dos dados sejam avisados o quanto antes, em um período estipulado de até 72 horas.

A GDPR trouxe algumas consequências para as empresas nacionais, especialmente para as organizações que fazem coletas de dados europeus ou têm a população desses países como público-alvo.

Quais são os principais desafios enfrentados pelas organizações?

Hoje, existem alguns desafios a serem enfrentados pelas organizações no que diz respeito à segurança dos dados pessoais de seus consumidores. A seguir, selecionamos alguns dos principais. Confira!

Invasão de computadores

Uma pesquisa realizada pelo International Business Report da Grant Thornton, por meio de um estudo com 2.500 empresas de 36 países, confirmou que o prejuízo financeiro devido a ataques no meio digital chegou a US$ 280 bilhões em 2016.

Garantir a segurança dos dados em relação a ciberataques criminosos talvez seja um dos principais desafios a serem enfrentados. Como solução para esse problema, o ideal é contar com ferramentas e tecnologias que possibilitem evitar a invasão ou, caso ela ocorra, que garantam que as informações estejam protegidas.

Fraudes

Como mencionado, fraudes utilizando dados pessoais podem ocorrer tanto por meio de ataques, como por colaboradores mal intencionados que utilizam as informações sigilosas para as mais diversas finalidades.

A fim de evitar esse gargalo, o ideal é que a gestão tenha um mapeamento de risco bem detalhado, expondo os principais pontos que oferecem algum tipo de fragilidade. Assim, é possível traçar um plano para que situações como essas não peguem a equipe desprevenida.

Mapeamento dos riscos

O mapeamento dos riscos é uma solução para fraudes e ataques cibernéticos. Contudo, ele é um desafio para gestores que visam garantir a proteção de dados pessoais. Isso porque, no geral, é essencial que os colaboradores entendam sobre governança corporativa — monitorando práticas internas de processos entre as diversas áreas da empresa, assim como o público externo.

Com isso, torna-se viável que a equipe consiga identificar qualquer brecha no sistema que possa comprometer a segurança. Afinal, qualquer falha pode ocasionar compartilhamento de informações, provocando, além de problemas judiciais, uma perda financeira significativa para a organização.

É preciso que haja um constante monitoramento. Para tanto, a empresa pode implementar uma rotina com seus colaboradores, visando identificar a segurança em determinado período, seja semanal, seja quinzenal. O ideal é que não seja em intervalos muito longos — inclusive, o recomendável é que se faça mais de uma vez na mesma semana.

Como garantir a proteção de dados pessoais no Brasil?

Apesar de as instabilidades serem muitas, além das graves consequências para as empresas que compartilham informações indevidamente, há uma série de soluções que permitem oferecer mais segurança para dados pessoais. A seguir, veja quais são as principais.

Detectar vulnerabilidades

Os equipamentos de Tecnologia da Informação que armazenam os dados pessoais de clientes e potenciais clientes passam por transformações contínuas. As atualizações têm como objetivo justamente aprimorar esses serviços e oferecer a melhor experiência para as empresas, seja em relação à usabilidade das ferramentas, seja no que se refere à interface ou à segurança da informação.

Ao escolher as melhores soluções para o seu negócio, é preciso avaliar alguns aspectos. A questão do custo-benefício é um deles, mas você não pode se atrelar somente a isso. É preciso ter a consciência de que ferramentas com um preço muito abaixo do mercado também podem comprometer a proteção dos dados, ocasionando prejuízos muito superiores.

Além disso, é preciso preocupar-se constantemente com a defasagem tecnológica, uma vez que a não atualização de sistemas pode facilitar o acesso de hackers, ocasionando os ciberataques. Ter uma equipe de suporte que possa avaliar vulnerabilidades, erros de utilização ou quebra dos equipamentos é crucial, pois assim problemas podem ser resolvidos antes que gerem consequências negativas.

Providenciar a capacitação da equipe é outra solução imprescindível. Nem sempre os colaboradores poderão acompanhar as transformações ocorridas no mercado apenas com seu conhecimento técnico adquirido ao longo dos anos. Dessa forma, o ideal é que eles tenham constantes treinamentos sobre tendências, mapeamento de riscos, estudos de casos etc.

Somente assim eles conseguirão adaptar-se para a realidade do seu negócio e oferecer alternativas para que situações que já ocorreram em outras empresas não se repitam.

Armazenar dados em nuvem

Atualmente, há ferramentas cada vez mais práticas para automatizar o sistema das organizações. Uma das maneiras mais seguras para o controle de informações estratégicas de clientes e da própria corporação diz respeito ao armazenamento de dados em nuvem.

Essa solução permite o envio e a troca de informações entre setores da empresa com menores chances de falhas. Para evitar o acesso indevido de pessoas mal intencionadas, só é permitido o acesso por colaboradores autorizados e cabe aos gestores identificarem quem são os profissionais mais capacitados para gerenciar essas informações.

Além disso, o espaço desse armazenamento é mais uma vantagem significativa. Servidores locais, por exemplo, têm um limite específico. Para a sua ampliação, é preciso ter um gasto que, muitas vezes, é elevado para a empresa. No caso do armazenamento em nuvem, devido ao seu disco rígido remoto, é possível aumentar a capacidade de acordo com as necessidades do negócio, com um baixo custo e de forma simplificada.

Por fim, não há a necessidade de se preocupar com o sistema operacional, pois esses serviços funcionam em qualquer um deles. Mesmo que os setores utilizem servidores diferenciados para suprirem suas demandas, esse não será um gargalo para o armazenamento dos dados.

Ter uma política interna bem precisa

Um dos primeiros passos para que a empresa possa garantir a proteção de dados pessoais é elaborar uma política interna precisa de segurança no que diz respeito a esse assunto. Ao identificar os principais riscos oferecidos, é preciso que os gestores se reúnam, encontrem as soluções e as apliquem com as devidas regras de uma política interna rígida.

Afinal, ao adotar ferramentas que garantem a segurança, é preciso que haja uma orientação aos colaboradores que seja focada especialmente na manutenção e no cuidado dessas informações. O controle de senhas corporativas é o mais recomendável. Conforme abordado, apenas pessoas específicas devem ter acesso a determinados dados, com o objetivo de garantir que eles não serão compartilhados indevidamente.

Nessa política, também é preciso que estejam definidas as consequências para quem descumprir as regras impostas. Dessa forma, você resguarda a empresa de possíveis causas trabalhistas caso precise demitir colaboradores por conduta inadequada.

Por fim, o ideal é orientar os funcionários quanto à proteção de suas senhas, elaborando inclusive um cronograma para que elas sejam trocadas regularmente. Isso é possível por meio do próprio sistema, que pode barrar o acesso caso essa troca não tenha sido efetuada.

Alinhar os processos à política de segurança

Por sua vez, também é fundamental que os processos da empresa estejam alinhados com a política de segurança. Existem reestruturações que vão ocasionar uma modificação completa na empresa, como mudança do sistema operacional, caso seja necessário. Assim, todos os colaboradores serão afetados e será preciso que eles sejam apresentados ao novo sistema e às suas ferramentas — de modo a garantir a produtividade da equipe mesmo com as transformações.

Por essa razão, é preciso que haja adequação dos processos, para que toda a política seja posta em prática. Se isso não ocorrer, as novas medidas a serem adotadas terão grandes chances de não saírem do papel, fazendo com que as falhas persistam em seu negócio.

Acompanhar as tendências e evoluções da área

Já ressaltamos sobre a necessidade de capacitação dos colaboradores para que estejam por dentro de todas as tendências e evoluções na área de segurança da informação. E essa é uma realidade para o setor, uma vez que elas acontecem de forma muito rápida e trazem sempre soluções inovadoras que visam garantir maior confiabilidade por parte dos gestores.

Além disso, é preciso entender que, mesmo com as técnicas tornando-se mais precisas e seguras, cibercriminosos também desenvolvem habilidades para que esses ataques possam ter sucesso em relação às mais diversas finalidades.

O ransomware, por exemplo, foi um dos ataques que surpreenderam, até mesmo, especialistas. Basicamente, ele consiste no “sequestro” dos dados da vítima, e o criminoso exige um valor pelo resgate. O problema aqui é que esse resgate é pago por meio de moeda virtual, o que torna praticamente impossível identificar o invasor.

No entanto, apesar do espanto causado nos primeiros casos ocorridos, já existem soluções que conseguem evitar esse cibercrime. Tal situação comprova a necessidade de entender os principais riscos que existem em empresas que dependem da segurança da informação para garantir a confiabilidade de seus clientes e dos seus próprios colaboradores.

Quais são os pilares da segurança da informação?

Até aqui, você pôde entender sobre a Lei Geral de Proteção de Dados e os desafios dessa segurança em nosso país, assim como também viu algumas dicas práticas para garantir um maior controle das informações no seu negócio.

A partir de agora, apresentaremos quais são os principais pilares da segurança da informação: confidencialidade, integridade e disponibilidade. Acompanhe!

Confidencialidade

Como o próprio nome já diz, a confidencialidade é justamente a garantia de que as informações presentes em seu sistema não serão compartilhadas sem as devidas autorizações, especialmente no que se refere aos ciberataques.

É essencial que as organizações se preocupem não apenas com os dados pessoais de seus clientes, mas também com os dos seus colaboradores. No ano de 2014, a Sony foi processada por seus funcionários devido ao vazamento de informações sigilosas na internet, o que gerou um prejuízo de milhões para a empresa. Além disso, filmes que nem sequer haviam sido lançados também foram parar em páginas diversas, o que gerou consequências negativas para a estratégia de divulgação dos seus produtos.

Integridade

A integridade na segurança da informação é a capacidade de armazenar os dados pessoais sem que haja uma interferência externa, mesmo que esses conteúdos sejam compartilhados internamente para os objetivos estratégicos do negócio.

Para garanti-la, é essencial que a organização defina permissões em relação aos arquivos e utilize ferramentas que possam retornar arquivos para as versões originais caso eles sejam alterados indevidamente — assim como identificar o autor dessas modificações. Além disso, também é preciso implantar sistemas que possam identificar quando alguma informação tiver sido alterada por falhas técnicas.

Disponibilidade

A disponibilidade é a capacidade de consulta dos dados por parte dos colaboradores. Caso as informações estejam indisponíveis para as áreas que necessitam delas para executar funções estratégicas, existe a possibilidade de isso ocasionar prejuízos financeiros para a empresa. Isso porque haverá baixa produtividade e essa situação pode comprometer, até mesmo, o atendimento ao cliente — se ele solicitar algum tipo de acesso aos seus dados, por exemplo.

Para que isso não ocorra, o ideal é que haja manutenção técnica eficiente quando algum problema acontecer. Manter equipamentos e sistemas atualizados torna-se ainda mais relevante, uma vez que não fazê-lo pode comprometer não apenas a segurança, como também o dia a dia da equipe.

Neste conteúdo, você pôde entender quais são os principais pontos sobre a proteção de dados pessoais no Brasil. É preciso que as organizações fiquem atentas a essas questões muito mais do que apenas para evitar prejuízos financeiros, como o ocorrido no caso da Sony.

Para uma empresa, estar envolvida em situações que comprometem a segurança da informação faz com que suas equipes precisem trabalhar em um gerenciamento de crises, com o objetivo de amenizar a imagem transmitida a parceiros, colaboradores e, principalmente, clientes. Dessa forma, o tempo que poderia ser gasto em questões mais estratégicas acaba tendo que ser utilizado para a resolução de algo que poderia ter sido prevenido.

Gostou das dicas apresentadas sobre proteção de dados pessoais no Brasil e gostaria de estar por dentro de mais informações e conteúdos como este? Assine nossa newsletter e receba nossas atualizações diretamente no seu e-mail!

Escreva um comentário