Fala pessoal,
Tudo bem com vocês?
Hoje vim falar um pouco mais sobre a Lei Geral de Proteção de Dados também conhecida como LGPD. Nesse artigo tentarei usar uma linguagem não técnica, para que qualquer “leigo” no assunto entenda.
Esse artigo é o segundo de uma série que servirá como uma introdução a LGPD, o básico para você “leigo” no assunto tenha um norte para se adequar essa nova norma obrigatória.
O primeiro artigo você encontra aqui.
COMO ESTA PROTEÇÃO DE DADOS DO SEU NEGÓCIO?
Toda empresa que armazenar informações relacionadas a pessoas físicas (sejam clientes, colaboradores ou parceiros) terá que se adequar as novas exigências da LGPD (Lei Geral de Proteção de Dados – 13709/2018).
A Lei geral de proteção de dados LGPD já entrou em vigor em setembro de 2020, porém as multas só começarão a ser aplicadas a partir de 1° de agosto de 2021
Basicamente a LGPD trata de dois temas principais:
Tratamento dos dados pessoais coletados:
- O que farão com seus dados
- Com quem serão compartilhados
- Para que finalidade
Compromisso com a proteção dos dados pessoais
- Quais são as normas de segurança adotadas
- Ter um gestor de dados (DPO)
O QUE SÃO DADOS PESSOAIS?
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Além dos dados já conhecidos como RG, CPF e documentos. Também são considerados dados: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico e perfil comportamental.
Ou seja, qualquer informação que possa ser usada para reconhecer um indivíduo, inclusive as preferencias de navegação dentro de um site ou dados anonimizados que permitam a reconstrução do mesmo
VAZAMENTO DE DADOS PESSOAIS
A primeira coisa que você deve saber é: Sempre existirá vazamento de dados, ainda mais agora que hackers tem mais motivos para sequestrar os dados, visto que a multa pelo vazamento pode chegar até 50 Milhões de reais.
Mas então você deve estar se perguntando, estou em um beco sem saída? Vou ser multado hora ou outra? Meus dados vazaram, não tem o que fazer?
A resposta é NÃO
A LGPD não visa punir o vazamento de dados em si, ela pune a má fé no uso ou a negligência nas práticas segurança
Vamos ao exemplo de um sequestro de dados usando um ransonware
Seu servidor está com as atualizações em dia?
Se a invasão ocorreu por uma vulnerabilidade conhecida do fabricante que postou a correção (patch de atualização) há vários meses e você não segue as normas básicas de segurança, que é manter o seu servidor atualizado, então é responsável pelo vazamento dos dados
Continuando:
Muitos se lembram do ransonware WannaCry que invadiu mais de 250 mil servidores Windows no mundo inteiro em 2017, no mesmo ano a Microsoft lançou um update que corrigia a vulnerabilidade desse malware. Porém, ainda hoje existem servidores que não tem esse patch de segurança e estão vulneráveis a essa invasão super conhecida.
Mantenha seus servidores e softwares atualizados, implante um sistema que faça esse controle
Utilize sistemas que possuem suporte do Fabricante, utilizar server 2003 não os deixa em conformidade com as normas de segurança.
Há vários aspectos de segurança para serem abordados que infelizmente não vou conseguir explicar em um único artigo, há políticas de troca de senha periódica, políticas restritivas de acesso a diretórios, requerimento de complexidade nas senhas dos usuários. Utilizar tecnologias como firewall, backup, criptografia entre outros. Tudo isso deverá ser apresentado a ANPD para comprovar a adoção de boas práticas de segurança. Vamos a alguns exemplos de alguns casos hipotéticos que não incluem necessariamente uma invasão de cyber criminoso:
1) Empresa faz uma publicação em seu mural, informações dos aniversariantes do mês:
Uma empresa publica no mural da empresa informações dos aniversariantes do mês, nessas informações continham nome inteiro, cpf e data de nascimento. Com essas informações é possível consultar até antecedentes criminais, o que pode levar a um constrangimento para o funcionário.
Uma política de treinamento acerca da LGPD, tal ocorrido poderia ter sido evitado.
3) Vazamento de atestado médico de um dos colaboradores da empresa:
A impressora utilizada pelo setor de recursos humanos era compartilhada e não utilizava nenhum mecanismo de senha para resgatar a impressão. Uma dessas impressões constava informações de um atestado médico informando que uma funcionária era portadora do vírus HIV e causando constrangimento a mesma
Essa situação poderia ter sido evitada utilizando mecanismos para proteção dos dados dos funcionários. Sendo uma impressora exclusiva para o RH, senha para impressão e treinamento de conformidade para os funcionários desse setor, evitando assim o vazamento.
4) Hospital compartilha informações dos pacientes com parceiros:
Um hospital vende as informações dos pacientes que vem a óbitos para uma empresa do ramo funerário. Essa empresa então pega o contato do parente mais próximo e começa a importuná-lo na venda de serviços funerários para seu parente que vem a óbito.
Compliance com a LGPD haveria duas maneiras de se evitar isso, primeiro é um terno de aceite do uso dos dados assinado pelo usuário, segundo seria evitar essa exposição por meio de publicidade simplesmente não repassando os dados não autorizados.
Não existe 100% de efetividade e o órgão regulador entende isso, o esforço precisa ser para mitigar e reduzir a possibilidade de vazamento de dados. Então adotar padrões e boas práticas reconhecidas mundialmente para a proteção
MEUS DADOS VAZARAM O QUE FAZER?
A LGPD diz que a empresa deverá comunicar imediatamente a autoridade nacional e ao titular dos dados vazados sobre o incidente de segurança.
Também diz que a ocorrência deverá ser reportada em um prazo razoável, mas não define tempo, porém isso deverá mudar no futuro e seguir normas internacionais que estipulam um prazo de 72 horas (A LGPD é inspirada na GDPR que é a lei de proteção da União Europeia)
Esse report a autoridade deverá conter:
1 – A descrição da natureza dos dados pessoais afetados;
2 – As informações sobre os titulares envolvidos;
3 – A indicação das medidas técnicas e de segurança utilizadas para proteção de dados;
4 – Os riscos relacionados ao incidente;
5 – Os motivos da demora em casos de a comunicação não ter sido imediata, bem como as medidas que foram ou que serão adotas para reverter ou mitigar os efeitos do prejuízo;
Observe que a empresa deverá mandar uma série de informações, e somente é possível mandar a riqueza de detalhes se a empresa já tiver implantado a politica de conformidade com a LGPD
Se constatado pela ANPD que nenhuma norma de segurança foi adotada para prevenir o vazamento de dados, a empresa estará sujeita as aplicações de penalidades previstas na LGPD. Além das ações que os titulares do dados poderão mover contra a empresa.
Contenção de riscos e preparo prévio
Comitê de gestão de crise em caso de vazamento de dados que deverá estar tecnicamente capacitado para demonstrar que essa empresa sempre se preocupou com a defesa e proteção dos dados
Por hoje é isso, no próximo artigo abordarei questões sobre aplicações web e quais os impactos na navegação
Nos vemos nos próximos posts
Até mais 😉
Seja o primeiro a comentar