Proteção de dados: como preservar a privacidade de empresas e clientes?

Você está fazendo a sua parte na proteção de dados? Durante um episódio do Conversas uMov.me especialistas debateram sobre o tema. Confira!

Na era da informação, obter dados, analisá-los e transformá-los em conhecimento para embasar estratégias já se tornou uma prática fundamental para a prosperidade de um negócio. É a essa realidade que nos referimos quando falamos de uma cultura data-driven.

A principal ideia é que a tecnologia seja utilizada para uma gestão mais eficiente do seu negócio, na qual a tomada de decisão será sempre baseada em dados. Mas, como para tudo, existe um limite. 

Na era do Big Data, quando dados têm as mais diversas procedências e são tratados por milhões de sistemas simultaneamente, a atenção por parte das empresas sobre a segurança das informações deve ser redobrada.

Pensando nisso, reunimos especialistas para conversarem sobre o tema, trazendo orientações práticas de como as pessoas podem (e devem!) se proteger corporativamente, quais cuidados tomar dentro das empresas que atuam e como se dá a relação entre redes sociais e proteção de dados no dia a dia.

Mas antes de tudo, vamos contextualizar o tema um pouco?

LGPD: o que diz a Lei Geral de Proteção de Dados

 A grande questão acerca da coleta e análise de dados é a dificuldade de estabelecer a fronteira entre o uso ético de dados a favor de uma estratégia de Business Intelligence e a invasão de privacidade, considerando que a proteção de dados pessoais é um direito definido por lei.

Assim, em 14 de agosto de 2018, foi estabelecida a Lei Geral de Proteção de Dados (LGPD) — Lei 13.709, com o objetivo de estabelecer regras mais claras e transparentes ao tratamento de dados pessoais, seja por pessoa natural ou jurídica de direito público ou privado, incluindo o meio digital.

Prevista originalmente para o dia 20 de agosto de 2020, a lei entrou em vigor oficialmente no dia 18 de setembro de 2020, com penalidades e sanções iniciadas em 1º de agosto de 2021.

Conceitos importantes

A LGPD traz algumas definições importantes sobre dados pessoais. Empresas que lidam com eles, de qualquer modo, precisam estar atentas a esses novos conceitos e às respectivas regras associadas a eles para garantir que seus processos estão em conformidade com a legislação.

Uma das mais importantes definições da LGPD é a de “dado pessoal”, um termo muito abrangente até então.

A LGPD considera como dado pessoal toda “informação relacionada a pessoa identificada ou identificável”.

Ou seja, um dado é considerado pessoal quando ele viabiliza a identificação, direta ou indireta, da pessoa natural por trás da informação. Podemos citar, por exemplo, nome e sobrenome, data de nascimento, endereço residencial ou comercial, telefone, documentos como CPF, RG, CNH, Carteira de Trabalho, Passaporte e título de eleitor, cookies e endereço IP.

A lei ainda considera os chamados “dados pessoais sensíveis”.

Um dado pessoal sensível se refere à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Informações sensíveis têm maior potencial danoso e, por isso, exigem um tratamento sob critérios mais rígidos.

Quando um dado não identifica um indivíduo, direta ou indiretamente, a LGPD o denomina por dado anonimizado.

Segundo a lei, um dado anonimizado é “relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.

É o caso, por exemplo, das pesquisas de campo relacionadas à crença pessoal ou intenção de voto, que objetivam a identificação de um perfil e, por isso, coletam informações de forma anônima ou são anonimizadas posteriormente. 

E-book Business Intelligence: como potencializar os resultados com inteligência de dados na área de Logística

A realidade das empresas antes e depois da LGPD

A Lei Geral de Proteção de Dados (LGPD) exigiu das empresas brasileiras uma série de mudanças para estarem em conformidade com a lei no processamento de dados.

Considerando que ela foi estabelecida em 2018 e só começou a ser fiscalizada em 2021, houve um período de três anos para a adaptação do mercado às novas regras. Mas será que foi suficiente?

Antes da LGPD

Realizada em março de 2019, a pesquisa da Serasa Experian avaliou 508 empresas B2B e B2C de 18 ramos de atuação, de todas as regiões do Brasil e com diferentes portes.

Entre todos os gestores entrevistados, apenas 15,2% afirmaram que a respectiva empresa já estava plenamente preparada para atender às exigências da Lei Geral de Proteção de Dados.

Os 85% restantes estavam separados em diferentes etapas do processo de adequação:

  • 24% das empresas estariam adequadas plenamente dentro de 1 ano;
  • 8,9% das empresas estariam adequadas dentro de 1 mês;
  • 7,3% das empresas estariam adequadas em 1 até 2 anos;
  • 3,7% das empresas precisariam de mais de 2 anos para atingir adequação plena.

Pelo menos 72% dos negócios com mais de 100 funcionários planejavam contratar um profissional ou consultoria especializada. A medida não é obrigatória, mas pode ser uma forma de facilitar o processo de adaptação.

Após a LGPD

Hoje, muitas empresas ainda enfrentam dificuldades para se adaptar à LGPD.

Segundo pesquisa realizada pela RD Station em 2021, 93% das quase mil empresas entrevistadas afirmaram conhecer ou pelo menos ter ouvido falar sobre a LGPD. Contudo, apenas 15% se consideravam prontas ou na reta final de preparação.

Mais de dois terços das empresas ainda não haviam implementado nem mesmo a primeira etapa — a criação de políticas de proteção de dados. A exigência é que sejam publicadas nos sites para explicar como as informações dos usuários são obtidas e utilizadas.

Levantamento da HRTech Convenia ainda revelou que 40% das empresas não tinham planos de contenção para vazamento de dados, o que coloca em risco não só os usuários e trabalhadores, mas o próprio negócio.

Essa falta de maturidade quanto à LGPD tornou o Brasil o 6º país mais atingido por vazamento de dados em 2021. Entre janeiro e novembro, 24,2 milhões de perfis de usuários tiveram suas informações expostas através de ataques ou brechas de sistemas, segundo estudo da Surfshark.

1ª Pesquisa Nacional BugHunt de Segurança da Informação, realizada pela BugHunt no mesmo ano, complementa a informação: 26% das companhias brasileiras sofreram ataques cibernéticos nos últimos 12 anos. Entre os principais crimes, estão:

  • Phishing (28%);
  • Vírus (24%);
  • Ransonware (21%);
  • Vishing (10%).

Inteligência Artificial no Direito: qual a importância e como é implementada

A importância da privacidade digital 

A proteção de dados tornou-se centro de discussões no mundo todo nos últimos anos, após o escândalo da empresa Cambridge Analytica, na qual dados de usuários do Facebook foram utilizados sem consentimento para a campanha eleitoral de 2016 dos EUA.

Mas por que só agora estamos falando sobre a privacidade digital?

Marcela Ortega Castro, Data Protection Officer (DPO) na IT2S Group, explicou durante uma edição do Conversas uMov.me que muitos países já possuem legislações específicas sobre proteção de dados pessoais há tempos, como os Estados Unidos, Canadá, México, Reino Unido, Argentina e Chile.

Ou seja, por mais que pareça, o assunto não é “de hoje” — é uma preocupação global que vem desenvolvendo a conscientização dos gestores quanto ao uso de informações.

“A GDPR, que é a legislação europeia, já é mais antiga. Um efeito cascata trouxe os reflexos para o Brasil, por questões principalmente comerciais. Ou seja, isso começou no ambiente internacional e, hoje, tem muita força no Brasil”, afirmou Marcela.

Como a implementação da LGPD foi um processo relativamente lento, a ausência dessa legislação levou a uma dificuldade de identificação do tratamento de dados no dia a dia. 

É por isso que a mudança cultural trazida é uma das consequências mais importantes da LGPD, fundamentada em uma palavra-chave: transparência.

Vejamos o Código de Defesa do Consumidor, por exemplo. Há 20 anos, não era possível trocar uma mercadoria, seja por arrependimento ou quando o item está errado. Hoje, a troca não só é aceitável como é um direito do consumidor.

Uma mudança cultural no contexto dos dados ocorre no mesmo sentido — é a conscientização dos líderes das organizações sobre o uso e o tratamento de informações, para que se estabeleça um “novo normal” que respeite a privacidade do usuário.

Para as empresas, essa nova realidade afeta principalmente a segurança. Guilherme Costa, Virtual Chief Information Security Officer (vCiso) na IT2S Group, ressaltou que a questão dos dados veio para mudar a noção e maturidade das empresas no que tangencia o próprio negócio.

“A LGPD trouxe para algumas empresas a necessidade de ter uma área de segurança da informação, pois ela precisa se adequar às normas de privacidade e proteção de dados. Já as empresas que têm uma área de segurança da informação precisam, agora, implementar a área de privacidade e proteção aos dados”, explicou.

Além disso, existe um impacto financeiro e de reputação nas empresas. Ao demonstrar segurança no manuseio de dados, a confiança do consumidor aumenta.

O vazamento de informações não só afeta a imagem do negócio no mercado como pode pesar no bolso, considerando que uma infração às regras da LGPD pode levar a uma multa de 2% do faturamento de até R$ 50 milhões. Ou seja, mesmo que o processo de adequação seja custoso, a adaptação ainda é o caminho mais barato e seguro.

Proteção de dados na prática: para a empresa e o empregado 

A implementação da LGPD, por si, já mostra uma tendência de mercado.

Os dados são ativos, que permitem que empresas tracem estratégias mais assertivas e, assim, ganhem mais eficiência e competitividade. Por isso, é natural que haja resistência na implementação de medidas de proteção à privacidade.

Mas é preciso enxergar a legislação como uma medida de segurança, que vale não só para o indivíduo como para o negócio em si. A adaptação é um processo gradual, que também leva à mudança cultural que transformará novos processos em hábitos.

Como uma pessoa pode se proteger corporativamente?

A proteção individual dos dados pessoais depende de uma série de questões, principalmente sobre os hábitos de uso da tecnologia. Mas, acima disso, a privacidade dos trabalhadores só pode ser garantida por um agente — a própria empresa.

Através da gestão de vulnerabilidades, uma empresa pode identificar riscos de segurança para, então, implementar medidas de proteção às informações dos seus colaboradores.

Para Marcela, é preciso olhar para a situação como um todo antes de agir:

“Uma empresa deve fazer um mapeamento de dados e processos para entender o cenário e as peculiaridades de cada pessoa e, assim, identificar os riscos que ela corre. Não vamos dar um tiro no escuro. Devemos identificar e estar atentos aos riscos para atuar preventivamente em pontos de exposição.”

Quais cuidados uma empresa deve tomar? 

O processo de proteção de dados ideal é subjetivo a cada empresa, dependendo da infraestrutura, recursos financeiros e as vulnerabilidades dela, entre outros fatores.

Primeiramente, é preciso mapear as vulnerabilidade da empresa e os respectivos funcionários, como disse Marcela, anteriormente. Depois disso, é preciso definir as finalidades do uso e da implementação dos conceitos e dados disponíveis nos repositórios. 

Com a estrutura estabelecida, ela também precisa ser atualizada. Para mantê-la ativa em alinhamento à LGPD, existem alguns passos essenciais:

  1. Todo e qualquer dado só pode ser consumido se tiverem uma finalidade de uso associada;
  2. Os dados devem ser acessados por finalidade de uso, tabela e campos, não necessariamente por ambiente segregado;
  3. As permissões de acesso e uso dos dados devem ser constantemente revisados, incluindo atualizações de login;
  4. Auditorias para verificar se os sistemas estão utilizando as boas práticas definidas pelos times de Governança e Privacidade devem ser realizadas com frequência;
  5. É preciso ter cuidado não apenas com sistemas novos, mas também sistemas legados, para se adequarem às boas práticas de proteção aos dados definidas para e pela empresa;
  6. É fundamental assegurar a rastreabilidade da informação e do consumo dos dados, incluindo, quando pertinente, a possibilidade de opt-in /opt-out dos clientes.

Times de cibersegurança, como os red e blue teams, são fundamentais para prevenir a exposição nas empresas, evitando riscos e perdas de credibilidade.

Enquanto o red team atua proativamente ao realizar testes de ciberataques, o blue team desenvolve estratégias para melhorar as defesas da empresa, com base nos ataques ensaiados pela primeira equipe. 

Costa afirmou que, se tratando da proteção de dados, as empresas precisam ser mais proativas em vez de reativas:

“Muitas empresas só agem quando acontece um vazamento de dados. Se ela conseguir mitigar a possibilidade de vazar um dado, corrigindo as vulnerabilidades do ambiente através de testes proativos, terá um ganho muito maior do que o gasto”, sugeriu.

Estruturar um departamento para a segurança da informação pode ser custoso, principalmente para empresas de pequeno e médio porte. Segundo Daniel Wildt, CHO da uMov.me, uma solução é terceirizar o setor, o que garante um serviço especializado e menores gastos para o negócio.

“Aqui na uMov.me, unimos parte do nosso time com a equipe multidisciplinar da IT2S para criar um comitê de segurança. Precisaríamos contratar uma equipe grande com um custo, que possivelmente não seria vantajoso para a empresa neste momento. Outros negócios também podem considerar o apoio de empresas parceiras como a IT2S neste sentido”.

Além disso, em janeiro de 2022 a LGPD incluiu uma resolução que facilita a adequação de empresas de pequeno porte à legislação. Entre os pontos regulamentados, foi definido que não há necessidade de nomear um Data Protection Officer (DPO) para processar a segurança dos dados dentro desses negócios, o que beneficia o orçamento.

Proteção de dados nas redes sociais 

Nas redes sociais, o compartilhamento de dados pode acontecer de diferentes maneiras. 

A LGPD definiu que todas as empresas ou órgãos públicos só poderão guardar ou usar dados pessoais com o consentimento expresso dos usuários. Mas será que essa decisão é sempre proativa?

Por exemplo, clicar “aceitar” em um anúncio de compartilhamento de cookies ao entrar no site é uma maneira clara de obter o consentimento. Contudo, muitas páginas substituem a opção de “recusar” por “configurar permissões”, o que demanda um esforço maior do usuário e que, por isso, é vencido pela lei do menor esforço.

Outro caso é quando ele publica fotos nas redes sociais com a marcação da localização. O usuário está compartilhando uma série de dados sobre o seu comportamento e rotina, mas será que ele está plenamente ciente disso?

Geolocalização em aplicativos: o que é e como funciona?

Fora da internet, isso também acontece. Quando a farmácia oferece descontos por CPF, por exemplo, ela está comprando uma informação que permite o mapeamento do perfil do consumidor. Mas, naquele momento, o cliente não pensa na moeda de troca pelo benefício que adquiriu.

Antes de compartilhar informações na internet, seja em uma publicação pessoal ou com algum site corporativo, é importante considerar a definição de dado pessoal da LGPD que trouxemos no início do artigo.

A questão é que, além do consentimento expresso, a solicitação de dados pessoais por terceiros deve ter a finalidade comunicada! Isso é fundamental para que os usuários estejam cientes e compreendam inteiramente o objetivo de compartilhar suas informações para, então, serem capazes de consentir. 

Era dos Dados: por que é tão importante apostar na gestão de dados 

Considerações sobre proteção de dados

Tanto para o indivíduo como para as empresas, ter um entendimento sobre a LGPD, suas diretrizes e aplicações é fundamental. 

Leia atentamente a legislação para efetivamente se proteger ou evitar infrações — e suas consequentes punições, que, como abordamos, podem ser muito mais custosas do que a adaptação às novas regras.

Afinal, a proteção também traz maior segurança para o seu negócio, que poderá manter a abordagem data-driven com o benefício de diminuir os riscos de vazamentos de dados e outras consequências prejudiciais.

Conversas uMov.me

Em 28 de janeiro, data em que comemoramos o Dia Internacional da Proteção de Dados, a uMov.me apresentou um webinário sobre a importância da proteção de direitos fundamentais de liberdade e privacidade relacionados ao uso de dados pessoais.

O Conversas uMov.me sobre “Proteção de dados: você está fazendo a sua parte?” contou com a participação de Marcela Ortega Castro, Data Protection Officer (DPO) e Analista de Privacidade de Dados na IT2S Group; e Guilherme Costa, Virtual Chief Information Security Officer (vCiso) na IT2S Group. Quem comandou o bate-papo foi Daniel Wildt, co-fundador e Chief Heart Officer da uMov.me.

O bate-papo é parte do projeto Conversas uMov.me, que promove bate-papos com clientes, parceiros e colaboradores sobre os mais variados temas. Com encontros periódicos, a iniciativa aborda demandas atuais para a geração de valor, compartilhamento de conteúdo e informação ao ecossistema da tecnologia.

Quer saber quando o próximo evento será realizado? Acesse o site da uMov.me Arena para mais informações!

Assista o episódio na íntegra!

Conheça os palestrantes

Marcela Ortega Castro — Data Protection Officer (DPO) na IT2S Group

Graduada em Direito pela Universidade Presbiteriana Mackenzie, Marcela é Especialista em Direito Digital. Membro da Associação Nacional de Advogadas(os) de Direito Digital (ANADD) e Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).

Além disso, ela possui certificação Profissional em LGPD pela instituição CertiProf e, atualmente, é Data Protection Officer (DPO) e Analista de Privacidade de Dados na IT2S Group.

Guilherme Costa — Virtual Chief Information Security Officer (vCiso) na IT2S Group

Graduado no curso de Tecnologia em Segurança da Informação pela FATEC-SCS, Guilherme tem mais de 10 anos de atuação com Tecnologia e Segurança da Informação no ramo bancário.

Membro do Information Association Privacy Professionals (IAPP), atualmente é Virtual Chief Information Security Officer (vCiso) na IT2S Group.

Daniel Wildt — CHO da uMov.me

Sócio fundador da uMov.me, Daniel tem passagem por áreas de tecnologia, atendimento, infraestrutura e hoje atua com foco em conteúdo e comunidade, criando e facilitando ações de aprendizagem através de conversas, vídeo, áudio e texto.

Além disso, Daniel é um profissional preocupado com desenvolvimento de produtos e serviços com equipes focadas em aprendizado, melhoria contínua e autonomia.

Logística

Logística orientada a dados: como potencializar resultados com inteligência

uMov.me e BIMachine reuniram seus especialistas para um bate-papo sobre logísti...

Webinars e Eventos

Como fazer a gestão eficiente da carteira de clientes

Você sabe como organizar a sua carteira de clientes? Os especialistas da uMov.m...

FALE COM UM ESPECIALISTA

Conheça os potenciais da plataforma para a sua empresa.

QUASE LÁ!

Preencha os dados abaixo para garantir sua demonstração gratuita.