“Se você colocar uma chave debaixo do tapete, permitirá que um ladrão a encontre. Os cibercriminosos estão usando todas as ferramentas da tecnologia à sua disposição para hackear contas das pessoas. Se eles sabem que há uma chave escondida em algum lugar, eles farão de tudo para encontrá-la.” – Tim Cook
Um novo e importante capítulo na segurança da informação e proteção de dados começa a sair do papel no Brasil a partir de 1º de agosto de 2021. É quando as fiscalizações e sanções previstas na Lei Geral de Proteção de Dados (LGPD) entram em vigor sob a responsabilidade da nova Autoridade Nacional de Proteção de Dados (ANPD).
Na prática, as empresas que tiverem dados vazados a partir desse dia estarão sujeitas a pagar uma multa de 2% do faturamento anual (limitada a 50 milhões de reais) por cada infração. As violações serão divulgadas publicamente, os dados poderão ser bloqueados ou até eliminados e as atividades podem até ser suspensas ou proibidas.
A LGPD já vem sendo aplicada desde setembro de 2020 pelos Procons, Poder Judiciário e Ministério Público do Trabalho, mas ainda não foi imposta nenhuma multa porque faltava a criação da ANPD.
Um exemplo para ilustrar o que estou colocando aqui, foi o recente vazamento de CPF de milhões de pessoas ocorridos no país, cuja empresa não teve o seu nome exposto. Em 1º de agosto de 2021 chega ao fim o período dos três anos que empresas e profissionais de diversas áreas tiveram para se adaptar à nova legislação, que chega em boa hora.
Em 2020, o relatório global de riscos do Fórum Econômico Mundial já apontava que os ciberataques e fraudes estavam no terceiro lugar no mapeamento de riscos da covid-19 para as organizações.
Segundo esse mesmo relatório, as falhas em cibersegurança estão entre as principais ameaças de riscos dos próximos dez anos ao lado dos riscos climáticos extremos, das falhas em ações de redução dos impactos climáticos, da concentração de poder digital em poucos grupos e da desigualdade digital.
No Brasil, a adesão massiva ao home office nos dois primeiros meses da pandemia do coronavírus resultou na disparada dos ciberataques aos sistemas em mais de 333%, conforme relatou a empresa desenvolvedora de cibersegurança Kaspersky.
Não é apenas colocando avisos de cookies nos sites que vamos resolver as questões relacionadas a LGPD. Além de deixar claro a necessidade e a finalidade de uso dos dados, pedir autorização para compartilhar com terceiros, entre outros aspectos presentes na legislação, também é preciso manter todos os dados bem longe dos ataques maliciosos e de possíveis falhas na segurança.
A LGPD e a cibersegurança têm uma relação intrínseca uma com a outra. Contrariando o que muitas pessoas possam imaginar, essa preocupação não deve ser apenas do pessoal de TI das empresas. Inclui todos os gestores e stakeholders, principalmente as lideranças em posições mais estratégicas, porque o risco à imagem da empresa é grande e pode colocar em xeque a continuidade dos negócios em um mundo cada vez mais digital. Não é um problema apenas das companhias de tecnologia e seus parceiros de negócio.
Aqui na Inmetrics levamos muito a sério esse assunto. Desenvolvemos várias soluções para ajudar nossos clientes e contamos com excelentes ethical hackers para descobrir as falhas nos sistemas e apresentar as melhores recomendações aos gestores de dados das organizações de diversos setores.
Essa legislação também trouxe novas oportunidades de carreira ao criar o Data Protection Officer (DPO), profissional que passou a ser obrigatório em três casos: quando o tratamento de dados é feito por uma autoridade ou organismo público (com exceção da que já faz atividade jurisdicional); quando a instituição está envolvida em monitoramento sistemático em larga escala de dados pessoais de usuários; e quando a entidade processa ou controla dados pessoais sensíveis ou relativos a condenações ou delitos criminais.
A LGPD é, portanto, uma conquista muito importante da sociedade para manter a privacidade e evitar abusos cometidos pelas organizações e seus sistemas digitais em relação ao uso e monetização indevida de nossos dados pessoais. Mas também é um estímulo para que o mundo digital se torne um ambiente mais seguro e justo para pessoas e empresas.
Escrito por: Especialistas Inmetrics.
