O que tem em comum GDPR e LGPD?
Qual é a relação na segurança da informação e os impactos nas organizações no mundo?
A similaridade das leis GDPR e LGPD ultrapassam a grafia com siglas de quatro letras. Pioneira na regulamentação e proteção de dados, a General Data Protection Regulation (GDPR) é a lei europeia que entrou em vigor em maio de 2018. Seu objetivo é proteger todos os cidadãos da UE contra a violação de privacidade e dados.
Na América Latina, o Brasil é um dos países com a regulamentação mais atrasada. A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em dezembro de 2020, chega para fixar parâmetros do mesmo tema da lei européia. No Chile, a legislação de proteção de dados foi decretada em 1999 e, na Argentina, em 2000. Países como Colômbia e Uruguai também seguem avançados quando o assunto é a segurança da informação. Independente do local do decreto, as leis indicam que a proteção de dados é uma necessidade e tendência mundial.
Sobre ataques ou invasão de hacker nos sistemas das empresas, de acordo com a Wired, foi este ano que aconteceu a maior violação de dados da história. Apelidada de ”Coleção # 1” a invasão atingiu quase 800 milhões de emails e senhas, totalizando 2.692.818.238 linhas de milhares de fontes diferentes. A invasão, que foi relatada pelo Troy Hunt, especialista em segurança digital , apresentou mais de 12 mil arquivos, com 87 gigabytes de dados, postados em um fórum hacker. Ela envolveu 772.904.997 endereços de e-mail únicos, além de mais de 21 milhões de senhas únicas, superando os hacks dos vazamentos do Equifax e do Yahoo por uma margem extremamente significativa.
Casos como o relatado por Hunt, do Equifax e do Yahoo, de brechas de segurança, são mais frequentes do que imaginamos. Só em 2018, o site Business Insider publicou uma lista dos 21 maiores episódios de violações revelados, classificados de acordo com o número de usuários afetados.
Para as organizações brasileiras, com a LGPD, além de se adequar a uma nova realidade de segurança da informação, conhecer a legislação sobre consentimento e transparência será essencial. Por mais que pareça distante, dezembro de 2020 não é um prazo longo para que todas as obrigações e responsabilidades criadas sejam atendidas. Há bastante a ser realizado com a intenção de adequar-se às regras da nova lei brasileira.
Diferente da realidade europeia, que implantou a General Data Protection Regulation (GDPR) depois da criação de uma cultura de discussão entre organizações sobre o tema, o mercado brasileiro não terá muito tempo para se adequar ao mercado com nova regulação. Mesmo que a portas fechadas, há uma correria e uma preocupação de empresas com essa adaptação.
Se segurança da informação, brechas de segurança e LGPD ainda forem temas distantes para a sua empresa, calma. Listamos abaixo dois passos essenciais para você inserir no seu planejamento organizacional.
Primeiro passo
É preciso conhecer a legislação sobre consentimento e transparência presentes nas dinâmicas de segurança da informação. A LGPD traz algumas definições tais como:
● Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável;
● Dados pessoais sensíveis são informações de origem racial/étnica, religiosa, política, filosófica, referentes à saúde, vida sexual, genética ou biométrica;
● Titular é a pessoa natural a quem se referem os dados pessoais;
● Controlador é a pessoa que toma decisões sobre o tratamento de dados pessoais;
● Operador é a pessoa que trata dados pessoais em nome do controlador;
● Tratamento é a coleta, processamento, armazenamento, eliminação, dentre tantos outros.
Segundo Passo
Para ajudar na educação digital da segurança da informação, é essencial que as empresas tenham parceiros confiáveis, com revisão de contratos, e acompanhamento diário da gestão dessas informações e adequação às novas regras.
É preciso garantir a conformidade com os regulamentos de privacidade e segurança, gerenciar e controlar ameaças cibernéticas com eficiência, assegurar a segurança e privacidade em toda a cadeia digital (serviços, aplicativos, dados, infraestruturas e terminais) e controlar os impactos de qualquer incidente de segurança ou violação de dados.
Falhas provam que até mesmo gigantes como Google, Microsoft e Facebook não estão a salvo de falta de segurança que podem expor os dados confidenciais de seus usuários.
*Danilo Barsotti é diretor de Cyber Security e Cloud Computing da Inmetrics