Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

legislação

27 junho 2019
adm.future
0
Categories: Blog, Dicas, Segurança

Por que a LGPD deve orientar a tomada de decisão dos CIOs

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) é mais do que uma lei de alcance federal, com escopo de aplicação ao poder público e em empresas do setor privado. Os requisitos foram criados como instrumento para fortalecer a privacidade dos consumidores e exige consentimento explícito para coleta e uso dos dados, além da apresentação de opções para o usuário visualizar, corrigir e excluir as informações coletadas.

Essa evolução dos mecanismos de controle tem como base e motivação o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), da União Europeia, os constantes e recorrentes vazamentos de dados pessoais após inúmeros ataques cibernéticos aos bancos de dados de todos os tipos de organizações, aliados ao fato de vivermos em uma economia cada vez mais baseada em dados, com o uso de Big Data, Internet das Coisas (IoT) e inteligência artificial.

A partir de agosto de 2020 a lei entra em vigor e até essa data as empresas devem se adequar e repensar como os dados estão sendo tratados desde o momento da coleta das informações até a disposição final conforme definido pela lei. Trata-se de uma lei rigorosa que pode alcançar multas diárias de até R$ 50 milhões aos negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma.

O volume de dados gerados pela população mundial é de 2,5 quintilhões de bytes diariamente, de acordo com uma publicação realizada pela revista Forbes no primeiro trimestre de 2018. Diante dessa quantidade de dados e um cenário regulador cada vez mais rigoroso, as organizações devem realizar uma análise de risco contextual para identificar quais são as atividades em seus processos que requerem uma adequação e ou implementação da lei. Sendo necessário considerar os processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.

Caminhando na direção da economia e na sociedade digital, atualmente 75% dos CIOs de todo mundo consideram que um dos aspectos que mais exige e ocupa suas agendas está em torno do planejamento, execução e monitoramento de mecanismos de segurança cibernética, de acordo com a pesquisa CIO Survey 2019 realizada pela Grant Thornton. Ainda neste detalhado e técnico levantamento, conclui-se que 83% dos líderes dos departamentos de tecnologia incrementaram seus investimentos e gastos em segurança digital.

Casos emblemáticos e recentes de ataques cibernéticos e sequestro de dados à grandes corporações e organizações públicas configuram claramente uma nova preocupação não somente no âmbito da privacidade do indivíduo, mas sobretudo em questões de segurança pública e internacional. Tal cenário vem influenciando não somente aos chefes de estados a se debruçarem cada vez mais sobre segurança digital, como também grandes e médias organizações vêm aumentando seus investimentos em capital humano e financeiro nas áreas de Tecnologia da Informação e compliance.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
11 junho 2019
adm.future
0
Categories: Blog, Dicas, Segurança

O que tem em comum GDPR e LGPD?

A similaridade das leis GDPR e LGPD ultrapassam a grafia com siglas de quatro letras. Pioneira na regulamentação e proteção de dados, a General Data Protection Regulation (GDPR) é a lei europeia que entrou em vigor em maio de 2018. Seu objetivo é proteger todos os cidadãos da UE contra a violação de privacidade e dados.

Na América Latina, o Brasil é um dos países com a regulamentação mais atrasada. A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em dezembro de 2020, chega para fixar parâmetros do mesmo tema da lei européia. No Chile, a legislação de proteção de dados foi decretada em 1999 e, na Argentina, em 2000. Países como Colômbia e Uruguai também seguem avançados quando o assunto é a segurança da informação. Independente do local do decreto, as leis indicam que a proteção de dados é uma necessidade e tendência mundial.

Sobre ataques ou invasão de hacker nos sistemas das empresas, de acordo com a Wired, foi este ano que aconteceu a maior violação de dados da história. Apelidada de ”Coleção # 1” a invasão atingiu quase 800 milhões de emails e senhas, totalizando 2.692.818.238 linhas de milhares de fontes diferentes. A invasão, que foi relatada pelo Troy Hunt, especialista em segurança digital , apresentou mais de 12 mil arquivos, com 87 gigabytes de dados, postados em um fórum hacker. Ela envolveu 772.904.997 endereços de e-mail únicos, além de mais de 21 milhões de senhas únicas, superando os hacks dos vazamentos do Equifax e do Yahoo por uma margem extremamente significativa.

Casos como o relatado por Hunt, do Equifax e do Yahoo, de brechas de segurança, são mais frequentes do que imaginamos. Só em 2018, o site Business Insider publicou uma lista dos 21 maiores episódios de violações revelados, classificados de acordo com o número de usuários afetados.

Para as organizações brasileiras, com a LGPD, além de se adequar a uma nova realidade de segurança da informação, conhecer a legislação sobre consentimento e transparência será essencial. Por mais que pareça distante, dezembro de 2020 não é um prazo longo para que todas as obrigações e responsabilidades criadas sejam atendidas. Há bastante a ser realizado com a intenção de adequar-se às regras da nova lei brasileira.

Diferente da realidade europeia, que implantou a General Data Protection Regulation (GDPR) depois da criação de uma cultura de discussão entre organizações sobre o tema, o mercado brasileiro não terá muito tempo para se adequar ao mercado com nova regulação. Mesmo que a portas fechadas, há uma correria e uma preocupação de empresas com essa adaptação.

Se segurança da informação, brechas de segurança e LGPD ainda forem temas distantes para a sua empresa, calma. Listamos abaixo dois passos essenciais para você inserir no seu planejamento organizacional.

Primeiro passo

É preciso conhecer a legislação sobre consentimento e transparência presentes nas dinâmicas de segurança da informação. A LGPD traz algumas definições tais como:

  • Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável;
  • Dados pessoais sensíveis são informações de origem racial/étnica, religiosa, política, filosófica, referentes à saúde, vida sexual, genética ou biométrica;
  • Titular é a pessoa natural a quem se referem os dados pessoais;
  • Controlador é a pessoa que toma decisões sobre o tratamento de dados pessoais;
  • Operador é a pessoa que trata dados pessoais em nome do controlador;
  • Tratamento é a coleta, processamento, armazenamento, eliminação, dentre tantos outros.

Segundo Passo

Para ajudar na educação digital da segurança da informação, é essencial que as empresas tenham parceiros confiáveis, com revisão de contratos, e acompanhamento diário da gestão dessas informações e adequação às novas regras.

É preciso garantir a conformidade com os regulamentos de privacidade e segurança, gerenciar e controlar ameaças cibernéticas com eficiência, assegurar a segurança e privacidade em toda a cadeia digital (serviços, aplicativos, dados, infraestruturas e terminais) e controlar os impactos de qualquer incidente de segurança ou violação de dados.

Falhas provam que até mesmo gigantes como Google, Microsoft e Facebook não estão a salvo de falta de segurança que podem expor os dados confidenciais de seus usuários.

Adeque-se às leis! Conte com a Future!!! Somos parceiros dos maiores fabricantes de soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
24 maio 2019
adm.future
0
Categories: Blog, Notícias

Transição para LGPD gera a confiança necessária em segurança da informação

Com os objetivos de dar aos cidadãos e residentes europeus formas de controlar os dados pessoais e de unificar o quadro regulamentar dos membros da União Europeia e Espaço Econômico Europeu, o Regulamento Geral sobre a Proteção de Dados (GDPR) deu início à uma onda de melhores medidas para a segurança de dados em diversos países. Aprovado em 15 de abril de 2016, mas entrando em vigor apenas em 25 de maio de 2018, o conjunto de leis busca garantir a privacidade e proteção de informações pessoais e prevê multas de até 4% do faturamento total da empresa que não estiver de acordo com as novas regras.

Porém, os reflexos da GDPR começaram a serem sentidos para além da União Europeia. Isso porque, o regulamento deve ser seguido por toda e qualquer empresa que armazena dados de cidadãos europeus, independente de onde a companhia opera. Isso fez com que inúmeros países se adequassem às novas leis e, consequentemente, pensassem em como as informações pessoais eram geridas dentro de casa. Como reflexo, os anos seguintes ao anúncio do novo regulamento viram aparecer conjuntos de leis semelhantes em outras regiões.

Na América Latina, países como México, Colômbia, Argentina, Chile e Peru se juntam ao Brasil entre aqueles que aprovaram os próprios regulamentos para a gestão de dados pessoais. Por aqui foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), ratificada no dia 14 de agosto de 2018, que determina como as informações dos cidadãos podem ser coletadas e tratadas, e que prevê punições para transgressões de até 2% sobre o lucro da empresa, com teto máximo de 50 milhões de reais.

Segundo estudo da IDC Brasil, 70% das PMEs nacionais enfrentam dificuldades na jornada digital, e garantir a segurança da informação é um desses desafios. No entanto, o tempo para se adequar às novas regras já está correndo. As empresas brasileiras têm até agosto de 2020 para adequar todos os processos de armazenamento, processamento, acesso, transferência e divulgação dos dados as regras da LGPD. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.

Esses regulamentos representam um período de transição, do qual sairão empresas mais conscientes sobre a importância da segurança da informação. Para atravessar esse processo sem grandes contratempos, as companhias devem apostar em soluções que estejam atualizadas de acordo com os requisitos de cada lei, o que traz benefícios a curto e a longo prazo. De imediato, as ferramentas ajudam a promover uma cultura de segurança no ambiente de trabalho e, no futuro, a evitar multas por falta de compliance.

Porém, diferentes interpretações do que é ou não é informação pessoal fazem com que as leis estejam em constante debate, e passíveis de mudança. No Brasil, a LGPD não faz nenhuma menção direta às imagens coletadas por vídeos de monitoramento, o que gerou um alerta entre empresas de monitoramento de vídeo.

Com a evolução do setor e a aplicação de tecnologias como cloud computing para transmissão e armazenamento, abre-se uma brecha na interpretação da legislação. Por exemplo, empresas que possuem soluções de câmeras inteligentes, capazes de detectar movimentos e pessoas com sensores, podem ser afetadas se um vídeo que identifica um indivíduo for considerado como dado pessoal.

Para não correr riscos, é necessário ficar atento às mudanças que a LGPD pode sofrer até 2020, ano em que a lei entrará, de fato, em vigor. Dessa forma, é importante utilizar esse período de transição para construir uma relação de confiança com a solução de segurança da empresa, para que a equipe tenha a certeza que, em caso de mudanças na legislação, a ferramenta irá manter a proteção de dados dentro da lei. Encontrar o equilíbrio no investimento de tempo e recursos financeiros para Pessoas – Processos – Tecnologia pode ser o fator determinante para o sucesso na proteção de dados ou pagamento de multas.

Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
9 maio 2019
adm.future
0
Categories: Blog, Notícias

MP que altera lei geral de proteção de dados avança no Congresso

A comissão mista que analisa a Medida Provisória (MP) 869/2018 aprovou nesta terça-feira (7) o relatório do deputado Orlando Silva.

O texto altera competências e garante autonomia técnica e decisória à Autoridade Nacional de Proteção de Dados (ANPD).

O órgão deve zelar pela proteção de dados pessoais e segredos comerciais e industriais.

A medida provisória altera a Lei 13.709, de 2018— conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

A norma prevê regras para proteger informações dos cidadãos gerenciadas por empresas públicas ou privadas.

Editada em dezembro do ano passado, a MP 869 previu a criação da Autoridade Nacional de Proteção de Dados como um ente ligado à Presidência e não como autarquia independente como trazia a LGPD.

A medida diminuiu o poder da autoridade, retirando sanções e medidas de fiscalização.

Além disso, a MP suprimiu outros pontos da Lei, como a possibilidade de revisão de decisões tomadas por processo automatizado (como uma “nota” de crédito definida por um algoritmo de um banco).

A redação flexibilizava a gestão de dados pessoais pelo Poder Público, retirando limites colocados pela Lei Geral de Proteção de Dados.

O relator, deputado Orlando Silva (PCdoB-SP), apresentou relatório há duas semanas com uma solução “alternativa”: a autoridade continuaria sob a Presidência da República como um ente dependente, mas em no máximo dois anos o Executivo encaminharia proposta para sua transformação em autarquia.

O parlamentar acrescentou a exigência de sabatina pelo Senado dos diretores indicados pelo governo federal.

Hoje, o relator colocou na comissão especial uma complementação de voto alterando essa formulação, deixando a mudança apenas como uma recomendação.

O recuo foi resultado de debates entre membros da comissão e do risco do trecho ser vetado pelo Executivo Federal.

Com isso, ela será uma área a ser estruturada pela Presidência, sem previsão de contratação de pessoal especializado. “Inexiste imposição, mas é uma alternativa ao Poder Executivo”, explicou Silva na sessão da comissão.

O relatório de Silva, entretanto, resgatou prerrogativas e sanções da Autoridade Nacional de Proteção de Dados, como a suspensão parcial de banco de dados que tiver desrespeitado a Lei e a proibição parcial ou total do exercício de atividades de tratamento de dados.

Revisão

A revisão de decisões automatizadas foi um tema polêmico ao longo da discussão da Lei.

O uso destes sistemas vem crescendo e envolve diversas esferas da vida, da contratação de diversos serviços ou a obtenção de empréstimos.

O relatório de Orlando Silva resgatou a possibilidade desta revisão, que havia sido vetada pela MP.

Na complementação de voto, no entanto, Silva incluiu que esta prática dependerá de regulamentação pela autoridade nacional e que “levará em consideração a natureza e o porte da entidade e o volume de operações de tratamento de dados”.

Orlando Silva apresentou nesta terça-feira uma complementação de voto com mudanças em relação ao relatório original, apresentado em abril.

Detalhes do projeto de lei de conversão (PLV) apresentado no relatório de Orlando Silva

Sabatina

Os membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) devem passar por sabatina no Senado, como ocorre com os integrantes de agências reguladoras. Os conselheiros só podem ser afastados preventivamente pelo presidente da República após processo administrativo disciplinar.

Mandato

O relatório restaura mandato de dois anos para integrantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A previsão havia sido abolida no texto original da MP 869/2018, mas estava prevista em trechos da Lei Geral de Proteção de Dados Pessoais que foram vetados pela Presidência da República. Na complementação de voto, o deputado Orlando Silva flexibiliza essa regra para os integrantes nomeados pelo Poder Executivo, que podem ser substituídos pelo presidente da República a qualquer tempo.

Composição

O número de membros do Conselho cai de 23 previstos na MP original para 21. São cinco representantes indicados pelo Poder Executivo, três pela sociedade civil, três por instituições científicas, três pelo setor produtivo, um pelo Senado, um pela Câmara dos Deputados, um pelo Conselho Nacional de Justiça, um pelo Conselho Nacional do Ministério Público, um pelo Comitê Gestor da Internet, um por empresários e um por trabalhadores.

Atribuições

O relatório recupera atribuições da ANPD que haviam sido suprimidas pelo texto original da MP 869/2018, como zelar pela observância de segredos comerciais e industriais e realizar auditorias sobre o tratamento de dados pessoais. Mas o relator também mantém competências previstas na medida provisória, como requisitar informações e comunicar às autoridades sobre infrações penais ou descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

Natureza Jurídica

A primeira versão do relatório obrigava a transformação da ANPD em autarquia após dois anos de funcionamento. Na complementação de voto, o deputado Orlando Silva tira esse caráter mandatório, já que poderia ser vetado por invadir competência do Poder Executivo. O projeto de lei de conversão indica apenas que a vinculação à Presidência da República é “transitória” e deve ser reavaliada pelo Poder Executivo.

Punições

A ANPD recupera a competência para aplicar punições, como a suspensão do funcionamento de banco de dados e a proibição do exercício de atividades relacionadas a tratamento de informações. A primeira versão do relatório previa a substituição das penalidades de suspensão total e proibição total por intervenções administrativas. Mas, segundo o deputado Orlando Silva, a medida “imporia um ônus desproporcional sobre o setor produtivo de tratamento de dados”. Na complementação de voto, ele prevê a pena de suspensão das atividades por seis meses, prorrogável por igual período em caso de reincidência.

Multas

São restauradas fontes de receita para a ANPD, como dotações previstas no Orçamento Geral da União, doações e valores apurados com a venda de bens ou com aplicações no mercado financeiro. Mas a autoridade não pode mais ficar com o dinheiro arrecadado com multas. Esses recursos serão repassados ao Fundo de Defesa de Direitos Difusos.

Revisão de Dados

O cidadão que se sentir prejudicado pela análise de dados realizada exclusivamente por computadores pode solicitar a revisão dos resultados por pessoas. A regra vale para os casos em que o tratamento automatizado for usado para fundamentar decisões que afetem os interesses do usuário, como a definição de perfis pessoal, profissional, de consumo ou de crédito. Na complementação de voto, o deputado Orlando Silva prevê que o regulamento da ANPD, ao disciplinar a revisão, deve levar em conta a natureza e o porte da entidade, assim como o volume de operações de tratamento de dados.

Indenizações

Na complementação de voto, o deputado Orlando Silva acatou uma sugestão para permitir a negociação e o eventual pagamento de indenização nos casos em que o usuário seja prejudicado por falhas no tratamento de informações. Por exemplo: se os dados financeiros de uma pessoa são digitados com erro e isso provoca uma restrição de crédito no mercado, o usuário pode negociar o pagamento de uma reparação diretamente com a empresa responsável pela falha. Se houver acordo, o caso não precisa ser comunicado à ANPD.

Reclamações

O usuário pode formalizar reclamações junto à ANPD por eventuais irregularidades no tratamento de dados. Mas a medida vale apenas como um recurso: primeiro, o cidadão deve comprovar que tentou e não conseguiu resolver o problema junto ao responsável direto pela análise dos dados no prazo legal. Na complementação de voto, o deputado Orlando Silva prevê a implantação de mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais.

Comunicação e Compartilhamento

A comunicação ou o uso compartilhado de dados mantidos pelo Poder Público com empresas privadas depende de consentimento do titular. Mas há algumas exceções: quando os dados sejam “manifestamente públicos”; quando a coleta de dados pessoais de crianças for necessária para contatar os pais ou responsáveis legais; para cumprir atribuições legais do serviço público; para a execução de políticas públicas; e para a prevenção de fraudes e irregularidades. Na complementação de voto, o deputado Orlando Silva prevê que a informação à ANPD depende de regulamentação.

Lei de Acesso à Informação

O texto protege o sigilo dos dados pessoais de cidadãos que requerem informações públicas por meio da Lei de Acesso à Informação (Lei 12.527, de 2011). Fica proibido o compartilhamento desses dados com órgãos públicos ou empresas privadas.

Dados de Saúde

É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. A intenção é evitar a negação de acesso ou a seleção de risco para seguros médicos e planos de saúde. A primeira versão do relatório só permitia a transferência de informações na hipótese de prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia. Na complementação de voto, o deputado Orlando Silva incluiu a possibilidade de compartilhamento para garantir a assistência farmacêutica do usuário. O projeto de lei de conversão estabelece critérios para o compartilhamento. A comunicação só pode ocorrer se for “exclusivamente para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”.

Idosos e Microempresários

O relatório prevê atendimento diferenciado para idosos. A ANPD deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”. A ANPD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte. Na complementação de voto, o deputado Orlando Silva estendeu o benefício às start ups — empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.

Conte com a Future

Sua empresa está preparada para a LGPD? Conte com a Future! Preencha o formulário abaixo e saiba como podemos ajudar a sua empresa a se adequar a nova lei!

Fontes: Relatório e complementação de voto do deputado Orlando Silva à MP 869/2019 e com informações da Agência Senado e Agência Brasil; e CryptoID.

Read More
15 março 2019
adm.future
0
Categories: Blog, Notícias

Controle de acesso será fundamental para atender regras do LGPD

Um dos pontos chave da Lei Geral de Proteção de Dados Pessoais (LGPD), que entra em vigor em agosto de 2020, são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados (Artigo 37) e a formulação de boas práticas de governança (Artigo 50). Mas será que as empresas estão preparadas para atender às novas exigências?

Levando em consideração um estudo realizado pela Varonis no último ano, que revelou que 64% das organizações dizem não saber onde seu conteúdo sensível está localizado e quem pode acessá-lo, as empresas ainda têm um longo caminho pela frente para atenderem às novas regras.

Segundo a última edição do Varonis Data Risk Report, divulgada em 2018, 21% de todas as pastas em uma empresa são abertas a todos os funcionários, e 88% das organizações com mais de 1 milhão de pastas têm mais de 100 mil abertas para qualquer membro da equipe. Ou seja, quase não há controle e nem registros do que é realizado dentro dos arquivos de dados e por quem.

Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono, se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.

O LGPD, mesmo sendo algo relativamente novo – especialmente para as empresas que não foram afetadas pelo GDPR, a lei europeia de proteção de dados –, reafirma uma boa prática já bastante conhecida dos especialistas de segurança, mas frequentemente esquecida pelos líderes de negócio: quanto mais sensíveis são as informações, menos pessoas devem ter acesso a esses dados.

Isso reforça a necessidade de contar com as ferramentas adequadas para controle de acesso às informações e, principalmente, para realização de análises de segurança das informações de forma rápida e fácil, focando nos dados de arquivos específicos ou até nas atividades de um indivíduo ou grupo de indivíduos em relação às informações que acessam.

Assim, as empresas vão poder definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio. Segundo informações do último Varonis Data Report, 76% de todas as pastas contêm dados obsoletos, um problema que, inclusive, também é previsto pelo LGPD, uma vez que a lei deixa claro que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Ou seja, contar com as ferramentas adequadas para controle de acesso e análise de segurança das informações para a LGPD, além de facilitar a geração de relatórios para dar aos auditores o poder de determinar se as políticas de segurança apropriadas estão em aplicação, vai melhorar a estratégia de segurança de dados como um todo, reduzindo os riscos para o negócio.

Diante deste cenário, buscar soluções equipadas com tecnologias de análise do comportamento do usuário, como o User Behaviour Analytics (UBA), vai ser o foco para estar em conformidade com o LGPD. Como detectam atividades em tempo real, mostrando exatamente onde um problema está acontecendo, essas tecnologias permitem identificar com precisão quais dados e quais clientes vão ser afetados, aumentando a velocidade de resposta.

Sua empresa já está adequada à LGPD? A Future pode ajudar! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
22 fevereiro 2019
adm.future
0
Categories: Blog, Notícias

LGPD e GDPR: 7 princípios que a TI deve colocar em prática

No mundo digital, a informação se tornou a principal moeda de troca, sendo utilizada por usuários para acesso a determinados bens e serviços. Cada vez mais a economia nesse ambiente gira entorno de dados pessoais, fazendo-se necessária a delimitação do uso e acesso das informações coletadas e trocadas para poder preservar direitos fundamentais dos usuários.

A coleta e utilização de informações pessoais sempre foi uma prática comum de empresas ao redor do mundo, seja para entender melhor clientes e suas necessidades seja para enviar intermináveis e-mails de propaganda. Essa prática tão cotidiana fere o direito universal à privacidade, pois utiliza dados pessoais sem o consentimento do proprietário.

O vazamento de conteúdos pessoais de clientes e consumidores de produtos e serviços online tornou-se notícia do dia a dia ao redor do mundo. No Brasil, o caso mais famoso foi o vazamento das fotos da Atriz Carolina Dieckmann em 2012, o que acarretou na criação de lei com o seu nome, responsável por punir crimes cibernéticos.

O GDPR – General Data Protection Regulation

Na última década, as autoridades mundiais buscaram alternativas e soluções para o controle da privacidade de dados pessoais, criando leis e regulamentos que respeitem informações pessoais de usuários da internet. A União Europeia foi pioneira no assunto, criando a primeira diretiva de proteção de dados em 1995.

Em 2018, essa diretiva foi atualizada com a entrada de um regulamento oficial para a proteção de dados pessoais, conhecido como GDPR. Esse conjunto de leis determina como devem ser tratados os dados pessoais de cidadãos europeus e tem como uma de suas bases o consentimento que a pessoa pode dar (ou não) para sua utilização. Em caso de infração, multas de até 20 milhões de euros podem ser aplicadas. Para nós, isso significa que uma empresa ou órgão Brasileiro que forneça serviços ou então utilize dados de um cidadão da União Europeia deverá respeitar as diretrizes impostas pelo GDPR, caso contrário, poderá sofrer aplicação destas multas.

O objetivo do GDPR é garantir não só a privacidade de qualquer cidadão em solo europeu, mas também assegurar que empresas do continente realizem negócios apenas com empresas que respeitem esses direitos.

A LGPD (Lei Geral de Proteção de Dados Pessoais)

No Brasil, os debates sobre privacidade de dados pessoais tiveram os seus primeiros passos em 2014, com a assinatura do Marco Civil da Internet, avanço importante para uma legislação baseada em transparência e privacidade. E agora, avançamos para a Lei Geral Proteção de Dados, (ou LGPD, como também é chamada), sancionada em 14 de agosto de 2018, que entrará em efetivo vigor em fevereiro de 2020.

Com esse conjunto de leis, empresas e órgãos governamentais que coletam, processam ou armazenam dados pessoais deverão estar adaptados conforme as novas regras, ficando sujeitos a multas que podem chegar a R$ 50 milhões.

Privacidade e Desenvolvimento de Software

A privacidade e proteção de dados são assuntos de extrema relevância no momento nas áreas de TI e em compliance. Como colocar isso em prática quando falamos de desenvolvimento de sistemas e tecnologia? Utilizando o Privacy by Design.

Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas. Seu conceito foi resumido e simplificado em 7 princípios básicos:

  1. Ser proativo e não reativo (prevenir e não remediar) – Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram.
  2. Privacidade como configuração padrão – Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário.
  3. Privacidade incorporada ao projeto – A proteção dos dados pessoais deve ser pensada como parte indissociável do projeto de arquitetura do sistema ou da prática de negócio, ou seja, desde a concepção.
  4. Funcionalidade total – “Soma-positiva” ao invés de soma-zero – Esse princípio visa garantir a proteção de dados pessoais em consonância com os legítimos interesses e objetivos daqueles que utilizam as informações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, abrir mão da segurança para conseguir mais dados.
  5. Segurança de ponta a ponta – A segurança das informações pessoais deve ser garantida desde a coleta do dado até sua destruição ou compartilhamento com um terceiro.
  6. Visibilidade e transparência – Abrange diversos aspectos, como informar ao titular do dado quando e para qual finalidade as suas informações estão sendo coletadas até a abertura da plataforma para que entidades independentes possam realizar auditorias e certificar-se de que as informações pessoais estão de fato protegidas.
  7. Respeito pela privacidade do usuário (solução centrada no usuário) – Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.

Como se pode observar, os sete princípios garantem uma abordagem pragmática, que cobre todas as pontas necessárias para estabelecer a proteção dos dados pessoais e o compliance com a grande maioria das normas de privacidade.

Os princípios do Privacy by Design devem gradualmente incorporar-se aos processos de desenvolvimento de aplicações e gerenciamento de dados de todas as empresas, não apenas as de tecnologia. A principal mudança a ser percebida é a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas. O termo DevSecOps (Development, Security & Operation), que integra o item segurança na esteira de desenvolvimento de software certamente ganhará em importância ao cobrir os aspectos funcionais da LGPD.

A natureza do Privacy by Design permite que seja adaptado conforme as necessidades práticas de cada empresa, mas exige que o profissional de compliance se debruce sobre cada um dos princípios para entender como eles deverão ser refletidos nas políticas, procedimentos e processos internos.

Quer se adequar a GDPR e LGPD? A Future pode ajudar! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
21 fevereiro 2019
adm.future
0
Categories: Blog, Notícias

LGPD: a ponta do iceberg da proteção aos dados

A segurança da informação nos acompanha a partir do momento em que nos tornamos usuários da tecnologia, dos cuidados com logins e senhas de e-mail até o compartilhamento de arquivos, fotos, informações íntimas e financeiras, pois as consequências de um vazamento de dados pessoais e profissionais podem ser desastrosas – e irreversíveis. No universo corporativo não é diferente.

Brechas de segurança, espionagem empresarial, vazamentos internos, ataques hackers etc., não faltam motivos para as companhias de todo o mundo investirem na proteção de seus dados, afinal de contas, a informação é o novo petróleo e é necessário protege-la a todo custo para não gerar perdas financeiras, danos à imagem e até a ruína dos negócios. Casos recentes como do Yahoo, Uber, e o mais emblemático, Facebook e Cambridge Analytica, nos mostram um pouco da gravidade do que pode acontecer.

Pouco, porque muitos desses episódios só revelaram a ponta do iceberg dos problemas que as empresas enfrentam quando há um vazamento de dados de clientes ou usuários, seja em maior ou menor proporção. Para proteger as informações, e regulamentar práticas de uso de dados – de forma transparente e com aval do usuário -, por exemplo, foi criada no ano passado a Lei Geral de Proteção aos Dados (LGPD), que coloca o Brasil entre os mais de 100 países que podem ser considerados adequados para proteger a privacidade e o uso de dados.

Prevista para entrar em vigor a partir de fevereiro de 2020, a LGPD segue o mesmo formato da General Data Protection Regulation (GDPR), que existe desde 2016 na Europa, na qual as empresas que não atenderem as especificações da GDPR, mesmo as que encontram fora do continente europeu, estão sujeitas às sanções, como interrompimento de acordos de negócios e multas que podem chegar a 20 milhões de euros ou 4% do volume global de negócios anual da instituição, o que for maior.

Aqui as multas poderão chegar a R$ 50 milhões e, dependendo do caso, as companhias podem ser obrigadas a apagar os dados pessoais dos clientes/usuários coletados, além de arriscarem a imagem dos negócios.

Para evitar essas punições, as empresas brasileiras, ou que as têm negócios no país, terão de investir na adaptação à LGPD, o que tomará tempo e necessitará de investimentos significativos em S.I., desde à adequação de equipamentos de TI (como bancos de dados e redes corporativas), segurança de perímetro, treinamento de funcionários e sistemas de identificação e combate a ameaças virtuais, para citar alguns exemplos.

A fim de ajudar os CEOs, CIOs e CSOs a se adequarem à lei, elenco abaixo alguns dos principais cuidados que as empresas devem tomar quando o assunto é LGPD:
Informar aos clientes e usuários sempre que houver coleta de dados pessoais pela empresa;

  • Armazenar os dados somente pelo tempo necessário para diminuir os riscos de vazamento;
  • Manter relatórios sobre as atividades envolvidas no processamento de dados do seu negócio sempre atualizados;
  • Atentar aos contratos com fornecedores ou empresas terceirizadas, que manipulem dados pessoais em nome da sua empresa. A segurança no tratamento das informações também precisa estar garantida nesses casos.
  • Mas para não sofrer com o desgaste que todo esse processo pode gerar, e correr riscos de possíveis falhas que podem deixar a empresa vulnerável a vazamentos de informações, o mais indicado é procurar parceiros de TI que já estejam preparados para lidar com as exigências da nova lei de proteção de dados, para garantir a confiabilidade e a continuidade dos negócios desde já.

A Future está pronta para ajudar a sua empresa a se adequar a LGPD. Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: Computer World.

Read More
28 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More
23 novembro 2018
adm.future
0
Categories: Blog, Notícias

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More
16 novembro 2018
adm.future
0
Categories: Blog, Notícias

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Read More

Receba conteúdos exclusivos