Proteção de dados: como preservar a privacidade de empresas e clientes?
25th jan 2022 | Leitura de 18 min
A proteção de dados tornou-se centro de discussões no mundo todo nos últimos anos, mas você sabe se está fazendo a sua parte? Sabe como preservar a privacidade no ambiente corporativo? Veja a seguir!
Na era da informação, obter dados, analisá-los e transformá-los em conhecimento para embasar estratégias já se tornou uma prática fundamental para a prosperidade de um negócio.
É a essa realidade que nos referimos quando falamos de uma cultura data-driven.
A principal ideia é que a tecnologia seja utilizada para uma gestão mais eficiente do seu negócio, na qual a tomada de decisão será sempre baseada em dados. Mas, como para tudo, existe um limite.
Na era do Big Data, quando dados têm as mais diversas procedências e são tratados por milhões de sistemas simultaneamente, a atenção por parte das empresas sobre a segurança das informações deve ser redobrada.
Pensando nisso, reunimos especialistas para conversarem sobre o tema, trazendo orientações práticas de como as pessoas podem (e devem!) se proteger corporativamente, quais cuidados tomar dentro das empresas que atuam e como se dá a relação entre redes sociais e proteção de dados no dia a dia.
Mas antes de tudo, vamos contextualizar o tema sobre proteção de dados?
LGPD: o que diz a Lei Geral de Proteção de Dados
A grande questão acerca da coleta e análise de dados é a dificuldade de estabelecer a fronteira entre o uso ético das informações.
Em especial, a favor de uma estratégia de Business Intelligence e a invasão de privacidade, considerando que a proteção de dados pessoais é um direito definido por lei.
Assim, em 14 de agosto de 2018, foi estabelecida a Lei Geral de Proteção de Dados (LGPD) — Lei 13.709, com o objetivo de estabelecer regras mais claras e transparentes ao tratamento de dados pessoais, seja por pessoa natural ou jurídica de direito público ou privado, incluindo o meio digital.
Prevista originalmente para o dia 20 de agosto de 2020, a lei entrou em vigor oficialmente no dia 18 de setembro de 2020, com penalidades e sanções iniciadas em 1º de agosto de 2021.
Conceitos importantes
A LGPD traz algumas definições importantes sobre dados pessoais. Empresas que lidam com eles, de qualquer modo, precisam estar atentas a esses novos conceitos e às respectivas regras associadas a eles para garantir que seus processos estão em conformidade com a legislação.
Uma das mais importantes definições da LGPD é a de “dado pessoal”, um termo muito abrangente até então.
A LGPD considera como dado pessoal toda “informação relacionada a pessoa identificada ou identificável”.
Ou seja, um dado é considerado pessoal quando ele viabiliza a identificação, direta ou indireta, da pessoa natural por trás da informação. Por exemplo:
- Nome e sobrenome;
- Data de nascimento;
- Endereço residencial ou comercial;
- Telefone;
- Documentos como CPF, RG, CNH, Carteira de Trabalho, Passaporte e título de eleitor;
- Cookies e;
- Endereço IP.
A lei ainda considera os chamados “dados pessoais sensíveis”, este se refere à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Informações sensíveis têm maior potencial danoso e, por isso, exigem um tratamento sob critérios mais rígidos.
Quando um dado não identifica um indivíduo, direta ou indiretamente, a LGPD o denomina por dado anonimizado, que é “relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
É o caso, por exemplo, das pesquisas de campo relacionadas à crença pessoal ou intenção de voto, que objetivam a identificação de um perfil e, por isso, coletam informações de forma anônima ou são anonimizadas posteriormente.
A realidade das empresas antes e depois da LGPD
A Lei Geral de Proteção de Dados (LGPD) exigiu das empresas brasileiras uma série de mudanças para estarem em conformidade com a lei no processamento de dados.
Considerando que ela foi estabelecida em 2018 e só começou a ser fiscalizada em 2021, houve um período de três anos para a adaptação do mercado às novas regras. Mas será que foi suficiente?
Antes da LGPD
Realizada em março de 2019, a pesquisa da Serasa Experian avaliou 508 empresas B2B e B2C de 18 ramos de atuação, de todas as regiões do Brasil e com diferentes portes.
Entre todos os gestores entrevistados, apenas 15,2% afirmaram que a respectiva empresa já estava plenamente preparada para atender às exigências da Lei Geral de Proteção de Dados.
Os 85% restantes estavam separados em diferentes etapas do processo de adequação:
- 24% das empresas estariam adequadas plenamente dentro de 1 ano;
- 8,9% das empresas estariam adequadas dentro de 1 mês;
- 7,3% das empresas estariam adequadas em 1 até 2 anos;
- 3,7% das empresas precisariam de mais de 2 anos para atingir adequação plena.
Pelo menos 72% dos negócios com mais de 100 funcionários planejavam contratar um profissional ou consultoria especializada. A medida não é obrigatória, mas pode ser uma forma de facilitar o processo de adaptação.
Após a LGPD
Hoje, muitas empresas ainda enfrentam dificuldades para se adaptar à LGPD e à proteção de dados.
Segundo pesquisa realizada pela RD Station em 2021, 93% das quase mil empresas entrevistadas afirmaram conhecer ou pelo menos ter ouvido falar sobre a LGPD. Contudo, apenas 15% se consideravam prontas ou na reta final de preparação.
Mais de dois terços das empresas ainda não haviam implementado nem mesmo a primeira etapa — a criação de políticas de proteção de dados.
A exigência é que sejam publicadas nos sites para explicar como as informações dos usuários são obtidas e utilizadas.
Levantamento da HRTech Convenia ainda revelou que 40% das empresas não tinham planos de contenção para vazamento de dados, o que coloca em risco não só os usuários e trabalhadores, mas o próprio negócio.
Essa falta de maturidade quanto à LGPD tornou o Brasil o 6º país mais atingido por vazamento de dados em 2021.
Entre janeiro e novembro, 24,2 milhões de perfis de usuários tiveram suas informações expostas através de ataques ou brechas de sistemas, segundo estudo da Surfshark.
A 1ª Pesquisa Nacional BugHunt de Segurança da Informação, realizada pela BugHunt no mesmo ano, complementa a informação: 26% das companhias brasileiras sofreram ataques cibernéticos nos últimos 12 anos. Entre os principais crimes, estão:
- Phishing (28%);
- Vírus (24%);
- Ransonware (21%);
- Vishing (10%).
A importância da privacidade digital
A proteção de dados tornou-se centro de discussões no mundo todo nos últimos anos, após o escândalo da empresa Cambridge Analytica, na qual dados de usuários do Facebook foram utilizados sem consentimento para a campanha eleitoral de 2016 dos EUA.
Mas por que só agora estamos falando sobre a privacidade digital?
Marcela Ortega Castro, Data Protection Officer (DPO) na IT2S Group, explicou durante uma edição do Conversas uMov.me que muitos países já possuem legislações específicas sobre proteção de dados pessoais há tempos, como os Estados Unidos, Canadá, México, Reino Unido, Argentina e Chile.
Ou seja, por mais que pareça, o assunto não é “de hoje” — é uma preocupação global que vem desenvolvendo a conscientização dos gestores quanto ao uso de informações.
“A GDPR, que é a legislação europeia, já é mais antiga. Um efeito cascata trouxe os reflexos para o Brasil, por questões principalmente comerciais. Ou seja, isso começou no ambiente internacional e, hoje, tem muita força no Brasil”, afirmou Marcela.
Como a implementação da LGPD foi um processo relativamente lento, a ausência dessa legislação levou a uma dificuldade de identificação do tratamento de dados no dia a dia.
Questão de mudança cultural das organizações
A mudança cultural trazida é uma das consequências mais importantes da LGPD, fundamentada em uma palavra-chave: transparência.
Vejamos o Código de Defesa do Consumidor, por exemplo. Há 20 anos, não era possível trocar uma mercadoria, seja por arrependimento ou quando o item está errado. Hoje, a troca não só é aceitável como é um direito do consumidor.
Uma mudança cultural no contexto dos dados ocorre no mesmo sentido — é a conscientização dos líderes das organizações sobre o uso e o tratamento de informações, para que se estabeleça um “novo normal” que respeite a privacidade do usuário.
Para as empresas, essa nova realidade afeta principalmente a segurança. Guilherme Costa, Virtual Chief Information Security Officer (vCiso) na IT2S Group, ressaltou que a questão dos dados veio para mudar a noção e maturidade das empresas no que tangencia o próprio negócio.
“A LGPD trouxe para algumas empresas a necessidade de ter uma área de segurança da informação, pois ela precisa se adequar às normas de privacidade e proteção de dados. Já as empresas que têm uma área de segurança da informação precisam, agora, implementar a área de privacidade e proteção aos dados”, explicou.
Além disso, existe um impacto financeiro e de reputação nas empresas. Ao demonstrar segurança no manuseio de dados, a confiança do consumidor aumenta.
O vazamento de informações não só afeta a imagem do negócio no mercado como pode pesar no bolso, considerando que uma infração às regras da LGPD pode levar a uma multa de 2% do faturamento de até R$ 50 milhões.
Ou seja, mesmo que o processo de adequação seja custoso, a adaptação ainda é o caminho mais barato e seguro.
Proteção de dados na prática: para a empresa e o empregado
A implementação da LGPD, por si, já mostra uma tendência de mercado em relação à proteção de dados.
Os dados são ativos, que permitem que empresas tracem estratégias mais assertivas e, assim, ganhem mais eficiência e competitividade. Por isso, é natural que haja resistência na implementação de medidas de proteção à privacidade.
Mas é preciso enxergar a legislação como uma medida de segurança, que vale não só para o indivíduo como para o negócio em si. A adaptação é um processo gradual, que também leva à mudança cultural que transformará novos processos em hábitos.
Como uma pessoa pode se proteger corporativamente?
A proteção individual dos dados pessoais depende de uma série de questões, principalmente sobre os hábitos de uso da tecnologia. Mas, acima disso, a privacidade dos trabalhadores só pode ser garantida por um agente — a própria empresa.
Através da gestão de vulnerabilidades, uma empresa pode identificar riscos de segurança para, então, implementar medidas de proteção às informações dos seus colaboradores.
Para Marcela, é preciso olhar para a situação como um todo antes de agir:
“Uma empresa deve fazer um mapeamento de dados e processos para entender o cenário e as peculiaridades de cada pessoa e, assim, identificar os riscos que ela corre. Não vamos dar um tiro no escuro. Devemos identificar e estar atentos aos riscos para atuar preventivamente em pontos de exposição.”
Quais cuidados uma empresa deve tomar?
O processo de proteção de dados ideal é subjetivo a cada empresa, dependendo da infraestrutura, recursos financeiros e as vulnerabilidades dela, entre outros fatores.
Primeiramente, é preciso mapear as vulnerabilidade da empresa e os respectivos funcionários, como disse Marcela, anteriormente.
Depois disso, é preciso definir as finalidades do uso e da implementação dos conceitos e dados disponíveis nos repositórios.
Com a estrutura estabelecida, ela também precisa ser atualizada. Para mantê-la ativa em alinhamento à LGPD, existem alguns passos essenciais:
- Todo e qualquer dado só pode ser consumido se tiverem uma finalidade de uso associada;
- Os dados devem ser acessados por finalidade de uso, tabela e campos, não necessariamente por ambiente segregado;
- As permissões de acesso e uso dos dados devem ser constantemente revisados, incluindo atualizações de login;
- Auditorias para verificar se os sistemas estão utilizando as boas práticas definidas pelos times de Governança e Privacidade devem ser realizadas com frequência;
- É preciso ter cuidado não apenas com sistemas novos, mas também sistemas legados, para se adequarem às boas práticas de proteção aos dados definidas para e pela empresa;
- É fundamental assegurar a rastreabilidade da informação e do consumo dos dados, incluindo, quando pertinente, a possibilidade de opt-in /opt-out dos clientes.
Times de cibersegurança, como os red e blue teams, são fundamentais para prevenir a exposição nas empresas, evitando riscos e perdas de credibilidade.
Enquanto o red team atua proativamente ao realizar testes de ciberataques, o blue team desenvolve estratégias para melhorar as defesas da empresa, com base nos ataques ensaiados pela primeira equipe.
Costa afirmou que, se tratando da proteção de dados, as empresas precisam ser mais proativas em vez de reativas:
“Muitas empresas só agem quando acontece um vazamento de dados. Se ela conseguir mitigar a possibilidade de vazar um dado, corrigindo as vulnerabilidades do ambiente através de testes proativos, terá um ganho muito maior do que o gasto”, sugeriu.
Estruturar um departamento para a segurança da informação pode ser custoso, principalmente para empresas de pequeno e médio porte. Segundo Daniel Wildt, CTO da uMov.me, uma solução é terceirizar o setor, o que garante um serviço especializado e menores gastos para o negócio.
“Aqui na uMov.me, unimos parte do nosso time com a equipe multidisciplinar da IT2S para criar um comitê de segurança. Precisaríamos contratar uma equipe grande com um custo, que possivelmente não seria vantajoso para a empresa neste momento. Outros negócios também podem considerar o apoio de empresas parceiras como a IT2S neste sentido”.
Além disso, em janeiro de 2022 a LGPD incluiu uma resolução que facilita a adequação de empresas de pequeno porte à legislação. Entre os pontos o orçamento.
Novas regras da LGPD para pequenas empresas
No início de 2022, em 27 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 2.
A norma flexibiliza a LGPD para os agentes de tratamento de pequeno porte. Portanto, torna as regras mais simples de serem cumpridas se comparadas àquelas previstas na lei geral. Sendo assim, as novas regras se aplicam a:
- Microempresas e empresas de pequeno porte (sociedade empresária, simples, limitada unipessoal ou o empresário, inclusive o Microempreendedor Individual – MEI);
- Startups (organizações empresariais e societárias, nascentes ou em operação recente, foi definido que não há necessidade de nomear um Data Protection Officer (DPO) para processar a segurança dos dados dentro desses negócios, o que beneficiação se caracterize pela inovação);
- Pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais (profissionais liberais, condomínios, entre outros).
Destacamos que a Resolução nº 2 da ANPD não isenta os agentes de pequeno porte da adequação e cumprimento das novas regras da LGPD. Mas flexibiliza algumas questões, oferecendo condições especiais e procedimentos diferenciados para simplificar a aplicação da Lei 13.709.
O que muda na LGPD para pequenas empresas
A Resolução nº 2 criou regras mais leves para o tratamento de dados nas pequenas empresas.
No entanto, a definição de alguns prazos ainda aguarda regulamentação da ANPD. Veja:
Encarregado de Proteção de Dados (DPO)
Antes, era obrigatório indicar um encarregado de proteção de dados, independente do porte da organização. Mas com a mudança, os agentes de pequeno porte não têm mais essa exigência.
No entanto, a ANPD recomenda que nomear um profissional encarregado é uma boa prática de gestão, apesar de não ser obrigatória. Mesmo que a empresa de pequeno porte não indique um encarregado de proteção de dados, ela deve viabilizar um canal de comunicação com o titular.
Portanto, a estratégia serve para receber reclamações, sugestões, prestar esclarecimentos e adotar providências.
A LGPD ficou mais simples para pequenas empresas
Em geral, a LGPD contribui para aprimorar as questões de segurança de informações pessoais e também da privacidade.
O cuidado com esses fatores fortalece a cultura de proteção de dados. O que é bom para as empresas e para a sociedade.
A Lei Geral de Proteção de Dados ajuda a aproximar e fidelizar clientes, aumentando a confiança na marca e fortalecendo a imagem da empresa no mercado. Outro benefício dessa legislação é a possibilidade de organizar e melhorar a eficiência dos processos.
Além disso, a legislação específica aumenta a segurança jurídica em relação ao tratamento de dados pessoais, despertando uma nova cultura empresarial. A questão é saber se a flexibilização da LGPD nas pequenas empresas realmente tornou os procedimentos mais simples.
Nesse sentido, a menor rigidez das regras em determinados requisitos tem um papel importante para desburocratizar processos e viabilizar a adequação dos agentes de tratamento de pequeno porte.
Um fator positivo proporcionado pela flexibilização é a redução de custos operacionais e financeiros, que com a LGPD são maiores.
Por outro lado, mesmo com a Resolução nº 2, ainda existem questões pendentes dependendo de definição, principalmente em relação ao tratamento de alto risco, à simplificação dos registros das atividades e dos processos de comunicação de incidentes.
Sem contar na questão dos prazos, pois muitos ainda aguardam definição.
Sendo assim, embora a LGPD tenha ficado mais simples para empresas pequenas, ainda há pontos a serem analisados. Além disso, alguns temas precisam de maior discussão e deliberação. Do contrário, o assunto acaba gerando dúvidas e incertezas.
Mas quando tais lacunas forem resolvidas, a flexibilização das regras da LGPD trará mais benefícios do que riscos, afastando a insegurança jurídica do colo das organizações.
Proteção de dados nas redes sociais
Nas redes sociais, o compartilhamento de dados pode acontecer de diferentes maneiras.
A LGPD definiu que todas as empresas ou órgãos públicos só poderão guardar ou usar dados pessoais com o consentimento expresso dos usuários. Mas será que essa decisão é sempre proativa?
Por exemplo, clicar “aceitar” em um anúncio de compartilhamento de cookies ao entrar no site é uma maneira clara de obter o consentimento.
Contudo, muitas páginas substituem a opção de “recusar” por “configurar permissões”, o que demanda um esforço maior do usuário e que, por isso, é vencido pela lei do menor esforço.
Outro caso é quando ele publica fotos nas redes sociais com a marcação da localização. O usuário está compartilhando uma série de dados sobre o seu comportamento e rotina, mas será que ele está plenamente ciente disso?
Fora da internet, isso também acontece. Quando a farmácia oferece descontos por CPF, por exemplo, ela está comprando uma informação que permite o mapeamento do perfil do consumidor.
Mas, naquele momento, o cliente não pensa na moeda de troca pelo benefício que adquiriu.
Antes de compartilhar informações na internet, seja em uma publicação pessoal ou em algum site corporativo, é importante considerar a definição de dados pessoais da LGPD que trouxemos no início do artigo.
A questão é que, além do consentimento expresso, a solicitação de dados pessoais por terceiros deve ter a finalidade comunicada!
Isso é fundamental para que os usuários estejam cientes e compreendam inteiramente o objetivo de compartilhar suas informações para, então, serem capazes de consentir.
Conversas uMov.me
Em 28 de janeiro, data em que comemoramos o Dia Internacional da Proteção de Dados, a uMov.me apresentou um webinário
Este conteúdo foi desenvolvido com base em uma na edição do Conversas uMov.me sobre sobre a importância da proteção de direitos fundamentais de liberdade e privacidade relacionados ao uso de dados pessoais., que ocorreu em 28 de janeiro de 2022.
O webinário “Proteção de dados: você está fazendo a sua parte?” contou com a participação de Marcela Ortega Castro, Data Protection Officer (DPO) e Analista de Privacidade de Dados na IT2S Group; e Guilherme Costa, Virtual Chief Information Security Officer (vCiso) na IT2S Group. E quem comandou o bate-papo foi Daniel Wildt, co-fundador e CTO da uMov.me.
Assista o episódio na íntegra!
Considerações sobre proteção de dados
Tanto para o indivíduo como para as empresas, ter um entendimento sobre a LGPD, suas diretrizes e aplicações é fundamental.
Leia atentamente a legislação para efetivamente se proteger ou evitar infrações — e suas consequentes punições, que, como abordamos, podem ser muito mais custosas do que a adaptação às novas regras.
Afinal, a proteção também traz maior segurança para o seu negócio, que poderá manter a abordagem data-driven com o benefício de diminuir os riscos de vazamentos de dados e outras consequências prejudiciais.
* Texto publicado originalmente em 25 de janeiro de 2022 e atualizado em 26 de janeiro de 2023.
Logística
Logística orientada a dados: como potencializar resultados com inteligência
uMov.me e BIMachine reuniram seus especialistas para um bate-papo sobre logísti...
Webinars e Eventos
Como fazer a gestão eficiente da carteira de clientes
Você sabe como organizar a sua carteira de clientes? Os especialistas da uMov.m...