Ouvir sobre vazamento de dados virou uma rotina. Há quem diga que o mais importante é perguntar quando e não se vai acontecer, afinal nenhuma solução é 100% segura. Na semana passada, o Banco Central comunicou a ocorrência do primeiro vazamento de dados de chaves PIX. Segundo a instituição, houve falhas pontuais no sistema do banco que guardava informações cadastrais, que não dão margem à movimentação de recursos e acesso às contas. Já o estudo Fast Facts, da Trend Micro, mostra que o Brasil assumiu, em julho, o 5º lugar no ranking de países mais afetados por ransomware, com 4,8% dos ataques globais. A lista é liderada pelos Estados Unidos, com 26,5%, seguidos por China, Índia e Alemanha. O Brasil também é o principal alvo de hackers que usam arquivos como isca, com 63,9% dos bloqueios desse tipo, seguido de longe pela Índia (13,5%), Indonésia, África do Sul e Itália.
Os números acendem o sinal vermelho das empresas que ainda não investem em políticas de prevenção a ataques cibernéticos. Se mesmo as instituições com políticas rígidas de segurança não estão imunes a vazamentos, imagine aquelas que ainda estão avaliando o que fazer. É bom que acelerem o ritmo de adequações tecnológicas para se preservarem, pois além do risco de macular a reputação em caso de falhas, as companhias devem estar cada vez mais atentas às implicações da Lei Geral de Proteção de Dados (LGPD), que passou a aplicar multas oficialmente em agosto deste ano.
A lei deixa claro que quem responde por uma violação de segurança, como um vazamento de dados, são os agentes de tratamento – o controlador e o operador, ou seja, pessoas que estão envolvidas no tratamento de dados pessoais. De acordo com o artigo 46 da LGPD, esses profissionais devem adotar medidas de segurança –técnicas e administrativas – aptas a proteger os dados pessoais, principalmente de acessos não autorizados e de situações acidentais ou ilícitas. Caso essas ações não sejam implementadas e isso leve à violação da segurança, o controlador e o operador deverão responder pelos danos causados.
A LGPD veio reforçar que, antes de usar a internet, uma determinada pessoa é dona de seus dados e tem, amparada na lei, o direito de que sejam preservados. Porém, as indefinições quanto às penalizações, os prazos “elásticos” para fiscalização e autuação acabam não ajudando na implementação da nova legislação de forma plena.
Apesar da possibilidade de autuação, algumas empresas começaram a visitar (ou revisitar) esse tema agora. A impressão é que trabalham como se tivessem um prazo maior para terminar as avaliações que já deveriam estar concluídas neste momento, como, por exemplo, o mapeamento dos dados. Por conta das mudanças significativas e de todos os desafios encontrados nos últimos 18 meses, acentuados pela pandemia e seu impacto financeiro em diversos setores, certamente o cumprimento à LGPD teve pouquíssima prioridade. Além disso, tenho a impressão de que muitos contam com a “sorte”, uma vez que a Autoridade Nacional de Proteção de Dados (ANPD) não terá braços suficientes para fiscalizar todo o mercado e, por isso, apostam que o risco de serem autuados seja menor, pois a fiscalização será menos frequente.
Caso os consumidores não se engajem para cobrar uma atuação firme das corporações em relação à privacidade e segurança dos dados, corremos o risco de a LGPD ficar na gaveta, mesmo que teoricamente esteja em vigor há dois meses. É necessário que haja uma educação forte e ampla da sociedade, pois somente com a pressão dela as empresas passarão a tomar ações mais efetivas. Individualmente, as pessoas podem ter força reduzida para pressionar uma grande organização, mas se todos estiverem alinhados, entendendo seus direitos e pressionando as organizações por mudanças, certamente este item passará a ter relevância e prioridade internamente.
Neste momento, as empresas multinacionais que se adequaram à General Data Protection Regulation (GDPR) saem em vantagem, já que boa parte desse trabalho já foi feita para atender à legislação europeia. Mas, independentemente do grau de maturidade da empresa na adoção de ferramentas aderentes à legislação brasileira, é imprescindível que a segurança dos dados se torne uma prioridade para os CEOs.
Uma pesquisa feita pela Fundação Dom Cabral (FDC) revelou que, das 207 empresas entrevistadas, 40% reconheceram não estarem plenamente adequadas à legislação. De acordo com o levantamento, os conselhos de 86% das corporações dizem ter conhecimento da LGPD e de seu impacto nos negócios, mas apenas 46% deles se reconhecem como responsáveis por sua implementação.
Para encontrar a melhor forma de se adequar à legislação e mitigar riscos, será fundamental entender os desafios existentes e traçar alternativas para superá-los. As empresas precisam se conscientizar da importância de promover transformações na cultura organizacional, investindo na revisão de processos, na adoção de novas ferramentas tecnológicas, no treinamento e orientação das equipes e na definição dos protocolos que garantam a todos o direito de manterem suas informações em segurança. Com agilidade na adequação às normas da LGPD e transparência na relação com clientes/usuários, certamente as instituições serão vistas pelo mercado como mais confiáveis e competitivas.
Por André Fernandes, diretor de Pré-vendas da Nice.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo