O que é a LGPD?

 Em vigência desde setembro de 2020, a LGPD define como as empresas podem (e devem) solicitar dados sensíveis de usuários e como protegê-los contra ameaças cibernéticas. 

A segurança da informação é uma tendência em alta no mundo todo. Além das multas previstas na LGPD, os usuários também estão cada vez mais preocupados com seus dados disponibilizados na internet.

Saiba como funciona a LGPD, quais vulnerabilidades evitar com a segurança de dados e como se manter nos parâmetros da Lei Geral de Proteção de Dados.

Como funciona a LGPD?

A Lei Geral de Proteção de Dados, ou Lei 13.709/2018, foi sancionada em 2018, mas só entrou em vigor em setembro de 2020. 

Além desse tempo de adequação, as empresas passaram a ser multadas somente a partir de agosto de 2021 e muitos ainda têm dúvidas sobre ela.

A LGPD é, em termos básicos, uma lei para regulamentar os dados que são captados pelas empresas e como estes dados são usados e armazenados.

Os dois pontos mais importantes para estar de acordo com a lei são: o usuário estar ciente e concordar com o fornecimento de dados; e as medidas de segurança adotadas pela empresa para evitar vazamentos.

Para garantir a ciência do usuário sobre o fornecimento de dados, é necessário ter uma política de privacidade que esclareça quais dados são captados e para qual finalidade. 

A empresa pode solicitar dados básicos, que são fornecidos por cookies, mas precisa que o usuário confirme o fornecimento de dados sensíveis, como nome, localização, número de telefone, documentos, etc.

Caso a base de dados seja compartilhada com outra empresa, essa informação também deve constar nos termos de uso.

No caso de descumprimento desses termos, a empresa pode ser multada pelos parâmetros da LGPD, ou até ser alvo de processo pelos usuários que se sentirem prejudicados. 

Vulnerabilidades de dados mais comuns da internet

Se a solicitação de captura de dados é importante para a LGPD, a segurança desses dados é igualmente indispensável. 

Embora seja praticamente impossível estar imune a todas as vulnerabilidades online, é possível minimizar os danos de um ataque hacker ou vazamento de dados sensíveis. 

A melhor forma de se proteger, e proteger os dados dos usuários, é instruir a equipe com boas práticas de segurança da informação e alertá-los sobre os golpes mais comuns.

 Phishing

O phishing é uma das práticas mais recorrentes em invasões e vazamentos de dados. Além de ser um ataque cibernético, também pode ser a porta de entrada para outros danos, como o ransomware. 

O phishing acontece quando o hcker obtém acesso ao sistema por um meio fraudulento. Isso pode ocorrer através de emails falsos, com links e arquivos maliciosos, ou páginas falsas, que capturam os dados de login do usuário.

Geralmente, o phishing irá simular uma interface oficial, como site da empresa, internet banking ou outra tela de login ligada à empresa. No caso dos emails, podem ser falsas faturas de pagamento, mensagens falsas de prêmios ou alertas para troca de senha.

Com os dados fornecidos, ou roubados por meio de um arquivo malicioso, o hacker tem as informações necessárias para invadir o sistema, danificando ou vazando informações.

 Ransomware

O ransomware é o sequestro de dados, que pode ser iniciado por um phishing ou por uma invasão mais sofisticada ao sistema da empresa.

Nos casos de ransomware, o “sequestro” pode ser de uma base de dados, copiada e deletada do banco de dados da empresa, ou das máquinas e sistemas, que ficam inoperantes até o resgate.

Ao ser vítima de ransomware, é comum que empresas acabem pagando o resgate solicitado pelos cibercriminosos. Porém, nada garante que os dados serão de fato devolvidos, ou devolvidos sem nenhum corrompimento. 

 Vazamento de dados sensíveis

Por fim, o vazamento de dados pode ser uma consequência de phishing, ransomware ou de outros ataques cibernéticos. 

O vazamento acontece porque o resgate solicitado não foi pago, ou porque ele já é o objetivo dos criminosos. 

No segundo caso, é comum que uma parte da base roubada seja vazada em fóruns online, enquanto o restante dos dados são vendidos. 

Os dados mais procurados são os que podem identificar pessoas (como o CPF, email e telefone) e dados bancários como cartões de crédito. 

Com os dados vazados, as vítimas podem também ser prejudicadas de outras formas, como cobranças indevidas e acesso às contas bancárias.

Check-list de conformidade com a LGPD

Para saber se sua empresa está em conformidade com a LGPD, se atente aos pontos a seguir:

1. Sua empresa coleta dados “desnecessários”? O excesso de informações que não serão utilizadas para as suas métricas pode ser prejudicial à segurança dessas informações. Colete somente o que for indispensável;
2. Há a limpeza de dados antigos? Determine a limpeza da base de dados de forma periódica, apagando dados de usuários que já não são mais clientes ou que não estão mais em prospecção;
3. Seu banco de dados tem uma camada de proteção a mais em dados sensíveis? Ao realizar o backup e restringir o acesso às informações sensíveis pode ser crucial para mitigar vazamentos de dados;
4. Sua empresa tem uma política de privacidade e termos de uso atualizados? Esses dois documentos precisam ser claros para o usuário e estarem facilmente acessíveis. Além de comprovar que o usuário está ciente do fornecimento de dados, estes documentos também facilitam a consulta de quais informações estão sendo coletadas e para quais finalidades.

Esses são os pontos mais importantes para começar a investir em segurança da informação e se manter adequado às normas da LGPD. 

Em caso de dúvidas, consulte os materiais fornecidos pela Autoridade Nacional de Proteção de Dados (ANPD).