As leis e regulamentações dentro do mercado de proteção de dados estão em pleno processo de adequação e aplicação em todo o mundo com a atuação de diversas leis e órgãos de regulamentação, como o GDPR na Europa, o PDPA em Singapura, o CCPA nos Estados Unidos e a LGPD no Brasil, que passa a vigorar a partir de agosto de 2020.
As promulgações fazem total sentido quando consideramos a elevada quantidade de ataques cibernéticos enfrentados por organizações e instituições públicas. Porém, para reduzir a violação de dados — que, infelizmente, não será possível a curto prazo — é necessário colocar a privacidade dos indivíduos e a proteção de dados pessoais para andarem juntas.
Na maior parte das últimas décadas, privacidade e segurança foram tratadas como dois conceitos muito diferentes. No entanto, quando analisamos o que está acontecendo no cenário de dados hoje, podemos ver que as linhas entre privacidade e segurança estão ficando cada vez mais páreas.
Isso não quer dizer que privacidade e segurança sejam iguais, mas sim que são intrínsecas. A segurança consiste em implementar os controles técnicos apropriados, como autenticação multifatorial, criptografia forte e registro para proteger os dados. Já a privacidade se resume a como esses dados são armazenados, acessados, sua confidencialidade e, finalmente, como você os usa.
Se você estiver armazenando dados pessoais e tiver uma violação de segurança, provavelmente terá implicações significativas na privacidade. Isso pode implicar em multas e outras sanções — como interrupção de uma ou todas as operações de processamento de dados.
Para evitar esse tipo de problema, é fundamental que as organizações promovam a colaboração na cultura corporativa e unam times de privacidade e segurança. Isso porque, todos os agentes dentro de uma empresa ou instituição devem ter conhecimento sobre como os dados são controlados e armazenados.
Apesar disso, grande parte do mercado enxerga as novas regulamentações apenas como leis de privacidade. Pior do que isso, é que a estrutura das organizações ainda apresenta um grande gap em relação ao trabalho de privacidade e segurança dos dados de maneira integrada.
Não é uma adaptação fácil, mas que deve começar o mais rápido possível. Ainda mais considerando que as exigências das novas regulamentações não recaem apenas no DPO (Data Protection Officer) ou no CISO (Chief Information Security Officer), mas em todos os membros e ecossistema operacional de uma organização.
Abaixo está uma visão geral e rápida de algumas das obrigações que vários departamentos têm em relação à proteção de dados.
• Recursos Humanos: é responsável por treinar funcionários e garantir que os avisos de proteção de dados sejam assinados (também conhecidos como políticas de privacidade).
• Engenharia: implementa o Privacy By Design (PbD) e garante a privacidade dos usuários, além de seguir práticas de codificação seguras. Também cria ferramentas de solicitação de acesso ao titular dos dados.
• Marketing: é responsável por garantir que as páginas da web sejam compatíveis às exigências da lei, onde a coleta de informações exiba o aviso de proteção de dados.
• Jurídico: leva em consideração as atividades de processamento de dados da empresa, elabora contratos, termos e outras peças de cunho legal que fornecem proteção de privacidade e segurança
• Segurança: garante a segurança dos produtos, gerencia riscos de terceiros e garante a segurança dos processos internos
• Privacidade: colabora com todos os departamentos, realiza auditorias, cria políticas, garante contratos de privacidade e assegura que a organização esteja em conformidade com a lei e suas políticas.
É normal que maioria dos departamentos de uma organização acesse e controle dados pessoais para operações do dia a dia. E é justamente este motivo que torna pertinente e necessário o treinamento dos funcionários, para que eles se atualizem e saibam como lidar com dados pessoais.
Todos os colaboradores precisam estar cientes dos parâmetros e métodos para proteção de dados e dividir esta responsabilidade, pois este é um esforço para toda a organização. Basta um deslize para colocar toda a empresa ou instituição em risco, e ninguém quer ser apontado como responsável.
Por isso, criar uma força de trabalho consciente é criar uma força de trabalho segura. Ao garantir que seus funcionários tenham sido treinados adequadamente, você reduz drasticamente os riscos em privacidade e segurança na sua organização.
*Lecio de Paula é diretor de Data Privacy da KnowBe4
A maioria das empresas que hoje investe em inteligência artificial não sabe exatamente quem deve…
A Datamint, startup brasileira de inteligência artificial (IA) voltada à gestão de ativos em operações…
Os consumidores ainda não estão preparados para permitir que agentes de inteligência artificial (IA) realizem…
A Anthropic intensificou seus alertas ao governo dos Estados Unidos sobre os riscos cibernéticos associados…
Por anos, equipes de TI operaram segurança e rede como disciplinas separadas, com ferramentas distintas,…
A presidente e COO da SpaceX, Gwynne Shotwell, afirmou que a abertura de capital da…