LGPD e a necessidade das empresas de adquirirem novas soluções contra a onda de ciberataques previstos para esse ano

Em setembro de 2024, a Lei Geral de Proteção de Dados (LGPD) celebrará quatro anos de vigência, hoje, umas das principais diretrizes para as empresas que, além de investirem na proteção dos seus negócios contra invasões ou ataques digitais, precisam controlar a privacidade e o uso de dados pessoais de seus clientes e fornecedores.

Desde o ano de criação da Lei até os dias de hoje, os negócios e instituições amadureceram o entendimento de que a segurança digital é crucial para evitar vazamento de dados e assim não sofrerem as severas multas que poderiam ser aplicadas.

Aos 4 anos de idade, os grandes eventos ocasionadores de multas são os vazamentos de dados. Dados que por descuido, negligência ou desconhecimento deve ser visto como elementar como implementar soluções de Privacy By Default. Parece que as empresas que se dizem adeptas à LGPD não estão praticando o que há de mais elementar e moderno: a anonimização ou pseudoanonimização de dados. A Autoridade Nacional de Proteção de Dados (ANDP) publicou, em março de 2023, os processos administrativos que envolvem negligência com a LGPD. A lista conta com o nome de órgãos públicos e empresas privadas, e entre os motivos estão a ausência de anonimização ou uso de criptografia no tratamento de dados.

O tratamento de dados que garantem a segurança

Há dois tipos de anonimizações: a irreversível e a pseudoanonimização. Na prática, para as empresas manipularem certos dados que as quais não são os titulares, precisam realizar a anonimização irreversível, a ponto de serem considerados verdadeiramente “anônimos”, ou seja, impossível de algum dia voltar a identificar o verdadeiro titular. No entanto, a “pseudoanonimização” que consiste em decodificar os dados do titular de maneira que, caso seja necessário, essas informações possam ser codificadas e utilizadas novamente. Nesta modalidade são usadas técnicas de criptografia que precisam preservar a chave criptográfica para futuro revertimento da informação.

Nos casos de adoção da pseudoanonimização, para um incidente de vazamento de dados oferecer riscos para os titulares é remota, pois, mesmo que todos os dados sejam vazados, a anonimização impossibilita que eles sejam vinculados a um titular, tornando o vazamento inócuo do ponto de vista da possibilidade de quebra do sigilo da informação. Porém, a pseudoanonimização requer cuidados e boas práticas criptográficas.

Na anonimização irreversível as chaves criptográficas podem ser jogadas fora, diferente da pseudanonimização, que justamente precisa da chave criptográfica para ser decriptografada.

A criptografia é ciência capaz de gerar, custodiar, gerenciar e permitir o uso de chaves criptográficas.

Guarda segura é a bola da vez em 2024

Falamos aqui nos processos de guarda segura das informações, mas não falamos o que está por trás de toda essa proteção: a criptografia, modelo matemático capaz de embaralhar as informações de modo que apenas a parte que tenha uma “chave” possa ser decifrada e/ou acessada. Mas, e essa “chave” que blinda as informações onde deve ser guardada?

É aí que entram as soluções de segurança digital que hoje têm mais do que um papel necessário, são essenciais. A tecnologia, como o Hardware Security Module (HSM) – certificada pelo governo americano – Federal Information Processing Standard (FIPS) e usado pelo Banco Central brasileiro – está entre as mais indicadas do mercado nacional, pois é capaz de prover a segurança, dupla custódia das chaves e garantir o desempenho e conformidade em relação à LGPD, com as normas de segurança em todos os segmentos da empresa ou corporação.

Mas por que tanta preocupação com a segurança ainda nos dias de hoje?

Quanto mais a conectividade e o mundo virtual se expandem, mais as empresas precisam estar preparadas para o cenário de possíveis novos ataques cibernéticos e que estão cada vez mais sofisticados. No Brasil, somente nos primeiros seis meses de 2023, o país sofreu 23 bilhões de ciberataques, segundo dados da empresa de segurança Fortinet.

A situação é crítica e a preocupação dos governos e órgão reguladores só aumenta, por isso, acredita-se que em 2024 promete ser um ano de maior fiscalização para que os impactos com os ciberataques sejam – de uma vez por todas – mitigados ao máximo. A Prova disso é a recente ampliação do quadro de funcionários da Autoridade Nacional de Proteção de dados (ANPD) – que de 50 foi para 121 profissionais, o que demonstra que terão mais “olhos” analisando as mais de 18 milhões de empresas ativas no Brasil, segundo os últimos dados do Ministério da Economia.

Em vista disso, vamos aproveitar os ensinamentos das experiências que já se tem ao longo destes 4 anos. Os investimentos previstos em Segurança da Informação visando adequação à LGPD contribui para prepararão as empresas estar em conformidade com a regulação além de adotar os métodos de anonimização e pseudoanonimização capazes

de anular qualquer possibilidade de que um vazamento de dados possa representar um dano grave aos Direitos dos Titulares.

É muito importante entender que o conceito de anonimizar é desvincular as informações de uma pessoa, sendo juridicamente uma solução capaz de isentar as empresas de multas que tem sido milionárias.

Por Marcelo Buz, diretor de Negócios e responsável pela área de Identidade e Assinatura Digital na DINAMO Networks.