Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

LGPD

9 maio 2019
adm.future
0
Categories: Blog, Notícias

MP que altera lei geral de proteção de dados avança no Congresso

A comissão mista que analisa a Medida Provisória (MP) 869/2018 aprovou nesta terça-feira (7) o relatório do deputado Orlando Silva.

O texto altera competências e garante autonomia técnica e decisória à Autoridade Nacional de Proteção de Dados (ANPD).

O órgão deve zelar pela proteção de dados pessoais e segredos comerciais e industriais.

A medida provisória altera a Lei 13.709, de 2018— conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

A norma prevê regras para proteger informações dos cidadãos gerenciadas por empresas públicas ou privadas.

Editada em dezembro do ano passado, a MP 869 previu a criação da Autoridade Nacional de Proteção de Dados como um ente ligado à Presidência e não como autarquia independente como trazia a LGPD.

A medida diminuiu o poder da autoridade, retirando sanções e medidas de fiscalização.

Além disso, a MP suprimiu outros pontos da Lei, como a possibilidade de revisão de decisões tomadas por processo automatizado (como uma “nota” de crédito definida por um algoritmo de um banco).

A redação flexibilizava a gestão de dados pessoais pelo Poder Público, retirando limites colocados pela Lei Geral de Proteção de Dados.

O relator, deputado Orlando Silva (PCdoB-SP), apresentou relatório há duas semanas com uma solução “alternativa”: a autoridade continuaria sob a Presidência da República como um ente dependente, mas em no máximo dois anos o Executivo encaminharia proposta para sua transformação em autarquia.

O parlamentar acrescentou a exigência de sabatina pelo Senado dos diretores indicados pelo governo federal.

Hoje, o relator colocou na comissão especial uma complementação de voto alterando essa formulação, deixando a mudança apenas como uma recomendação.

O recuo foi resultado de debates entre membros da comissão e do risco do trecho ser vetado pelo Executivo Federal.

Com isso, ela será uma área a ser estruturada pela Presidência, sem previsão de contratação de pessoal especializado. “Inexiste imposição, mas é uma alternativa ao Poder Executivo”, explicou Silva na sessão da comissão.

O relatório de Silva, entretanto, resgatou prerrogativas e sanções da Autoridade Nacional de Proteção de Dados, como a suspensão parcial de banco de dados que tiver desrespeitado a Lei e a proibição parcial ou total do exercício de atividades de tratamento de dados.

Revisão

A revisão de decisões automatizadas foi um tema polêmico ao longo da discussão da Lei.

O uso destes sistemas vem crescendo e envolve diversas esferas da vida, da contratação de diversos serviços ou a obtenção de empréstimos.

O relatório de Orlando Silva resgatou a possibilidade desta revisão, que havia sido vetada pela MP.

Na complementação de voto, no entanto, Silva incluiu que esta prática dependerá de regulamentação pela autoridade nacional e que “levará em consideração a natureza e o porte da entidade e o volume de operações de tratamento de dados”.

Orlando Silva apresentou nesta terça-feira uma complementação de voto com mudanças em relação ao relatório original, apresentado em abril.

Detalhes do projeto de lei de conversão (PLV) apresentado no relatório de Orlando Silva

Sabatina

Os membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) devem passar por sabatina no Senado, como ocorre com os integrantes de agências reguladoras. Os conselheiros só podem ser afastados preventivamente pelo presidente da República após processo administrativo disciplinar.

Mandato

O relatório restaura mandato de dois anos para integrantes do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A previsão havia sido abolida no texto original da MP 869/2018, mas estava prevista em trechos da Lei Geral de Proteção de Dados Pessoais que foram vetados pela Presidência da República. Na complementação de voto, o deputado Orlando Silva flexibiliza essa regra para os integrantes nomeados pelo Poder Executivo, que podem ser substituídos pelo presidente da República a qualquer tempo.

Composição

O número de membros do Conselho cai de 23 previstos na MP original para 21. São cinco representantes indicados pelo Poder Executivo, três pela sociedade civil, três por instituições científicas, três pelo setor produtivo, um pelo Senado, um pela Câmara dos Deputados, um pelo Conselho Nacional de Justiça, um pelo Conselho Nacional do Ministério Público, um pelo Comitê Gestor da Internet, um por empresários e um por trabalhadores.

Atribuições

O relatório recupera atribuições da ANPD que haviam sido suprimidas pelo texto original da MP 869/2018, como zelar pela observância de segredos comerciais e industriais e realizar auditorias sobre o tratamento de dados pessoais. Mas o relator também mantém competências previstas na medida provisória, como requisitar informações e comunicar às autoridades sobre infrações penais ou descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

Natureza Jurídica

A primeira versão do relatório obrigava a transformação da ANPD em autarquia após dois anos de funcionamento. Na complementação de voto, o deputado Orlando Silva tira esse caráter mandatório, já que poderia ser vetado por invadir competência do Poder Executivo. O projeto de lei de conversão indica apenas que a vinculação à Presidência da República é “transitória” e deve ser reavaliada pelo Poder Executivo.

Punições

A ANPD recupera a competência para aplicar punições, como a suspensão do funcionamento de banco de dados e a proibição do exercício de atividades relacionadas a tratamento de informações. A primeira versão do relatório previa a substituição das penalidades de suspensão total e proibição total por intervenções administrativas. Mas, segundo o deputado Orlando Silva, a medida “imporia um ônus desproporcional sobre o setor produtivo de tratamento de dados”. Na complementação de voto, ele prevê a pena de suspensão das atividades por seis meses, prorrogável por igual período em caso de reincidência.

Multas

São restauradas fontes de receita para a ANPD, como dotações previstas no Orçamento Geral da União, doações e valores apurados com a venda de bens ou com aplicações no mercado financeiro. Mas a autoridade não pode mais ficar com o dinheiro arrecadado com multas. Esses recursos serão repassados ao Fundo de Defesa de Direitos Difusos.

Revisão de Dados

O cidadão que se sentir prejudicado pela análise de dados realizada exclusivamente por computadores pode solicitar a revisão dos resultados por pessoas. A regra vale para os casos em que o tratamento automatizado for usado para fundamentar decisões que afetem os interesses do usuário, como a definição de perfis pessoal, profissional, de consumo ou de crédito. Na complementação de voto, o deputado Orlando Silva prevê que o regulamento da ANPD, ao disciplinar a revisão, deve levar em conta a natureza e o porte da entidade, assim como o volume de operações de tratamento de dados.

Indenizações

Na complementação de voto, o deputado Orlando Silva acatou uma sugestão para permitir a negociação e o eventual pagamento de indenização nos casos em que o usuário seja prejudicado por falhas no tratamento de informações. Por exemplo: se os dados financeiros de uma pessoa são digitados com erro e isso provoca uma restrição de crédito no mercado, o usuário pode negociar o pagamento de uma reparação diretamente com a empresa responsável pela falha. Se houver acordo, o caso não precisa ser comunicado à ANPD.

Reclamações

O usuário pode formalizar reclamações junto à ANPD por eventuais irregularidades no tratamento de dados. Mas a medida vale apenas como um recurso: primeiro, o cidadão deve comprovar que tentou e não conseguiu resolver o problema junto ao responsável direto pela análise dos dados no prazo legal. Na complementação de voto, o deputado Orlando Silva prevê a implantação de mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais.

Comunicação e Compartilhamento

A comunicação ou o uso compartilhado de dados mantidos pelo Poder Público com empresas privadas depende de consentimento do titular. Mas há algumas exceções: quando os dados sejam “manifestamente públicos”; quando a coleta de dados pessoais de crianças for necessária para contatar os pais ou responsáveis legais; para cumprir atribuições legais do serviço público; para a execução de políticas públicas; e para a prevenção de fraudes e irregularidades. Na complementação de voto, o deputado Orlando Silva prevê que a informação à ANPD depende de regulamentação.

Lei de Acesso à Informação

O texto protege o sigilo dos dados pessoais de cidadãos que requerem informações públicas por meio da Lei de Acesso à Informação (Lei 12.527, de 2011). Fica proibido o compartilhamento desses dados com órgãos públicos ou empresas privadas.

Dados de Saúde

É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. A intenção é evitar a negação de acesso ou a seleção de risco para seguros médicos e planos de saúde. A primeira versão do relatório só permitia a transferência de informações na hipótese de prestação de serviços de saúde, incluídos os serviços auxiliares de diagnose e terapia. Na complementação de voto, o deputado Orlando Silva incluiu a possibilidade de compartilhamento para garantir a assistência farmacêutica do usuário. O projeto de lei de conversão estabelece critérios para o compartilhamento. A comunicação só pode ocorrer se for “exclusivamente para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”.

Idosos e Microempresários

O relatório prevê atendimento diferenciado para idosos. A ANPD deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”. A ANPD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte. Na complementação de voto, o deputado Orlando Silva estendeu o benefício às start ups — empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.

Conte com a Future

Sua empresa está preparada para a LGPD? Conte com a Future! Preencha o formulário abaixo e saiba como podemos ajudar a sua empresa a se adequar a nova lei!

Fontes: Relatório e complementação de voto do deputado Orlando Silva à MP 869/2019 e com informações da Agência Senado e Agência Brasil; e CryptoID.

Read More
25 março 2019
adm.future
0
Categories: Blog, Dicas

10 pontos para entender melhor a lei brasileira de proteção de dados

LGPD é o acrônimo de Lei Geral de Proteção de Dados, sancionada pelo presidente Michel Temer com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.

A partir de agora, as empresas têm 18 meses para se adaptarem à lei. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas altíssimas que chegam até mesmo a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento dentro das corporações. Confira dez pontos para entender mais a LGPD:

1 – Objetivos

A principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

2 – Motivações da LGPD

Há um grande debate no setor desde 2010 sobre a proteção dos dados. Entre os fatores que levaram à aprovação do projeto de lei brasileira foi o GPDR, regulamento aprovado pela União Europeia em maio de 2018. Como este documento tem aplicabilidade extraterritorial, muitas empresas brasileiras já tiveram que se adequar para esta nova realidade.

3 – Principais pontos

A lei é aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela; consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.

4 – Data Protection Officer

A partir de agora, as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste órgão haverá um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

5 – Avaliação da Maturidade dos processos e Impacto de Riscos

É o levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.

6 – Redução da exposição ao risco

Aqui, é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.

7 – Adoção do Privacy by Design

Aborda a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.

8 – Cumprimento dos subcontratantes

A LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

9 – Multas

A nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

10 – Parceiro especializado

Lidar com esta situação enquanto tenta administrar o negócio não é fácil. Um parceiro especializado pode auxiliar nesse período de transição, possibilitando um maior conhecimento e aplicação de medidas eficientes para o cumprimento da lei.

Quer se adequar a LGPD? A Future está preparada para ajuda-lo nessa transição! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
15 março 2019
adm.future
0
Categories: Blog, Notícias

Controle de acesso será fundamental para atender regras do LGPD

Um dos pontos chave da Lei Geral de Proteção de Dados Pessoais (LGPD), que entra em vigor em agosto de 2020, são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados (Artigo 37) e a formulação de boas práticas de governança (Artigo 50). Mas será que as empresas estão preparadas para atender às novas exigências?

Levando em consideração um estudo realizado pela Varonis no último ano, que revelou que 64% das organizações dizem não saber onde seu conteúdo sensível está localizado e quem pode acessá-lo, as empresas ainda têm um longo caminho pela frente para atenderem às novas regras.

Segundo a última edição do Varonis Data Risk Report, divulgada em 2018, 21% de todas as pastas em uma empresa são abertas a todos os funcionários, e 88% das organizações com mais de 1 milhão de pastas têm mais de 100 mil abertas para qualquer membro da equipe. Ou seja, quase não há controle e nem registros do que é realizado dentro dos arquivos de dados e por quem.

Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono, se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.

O LGPD, mesmo sendo algo relativamente novo – especialmente para as empresas que não foram afetadas pelo GDPR, a lei europeia de proteção de dados –, reafirma uma boa prática já bastante conhecida dos especialistas de segurança, mas frequentemente esquecida pelos líderes de negócio: quanto mais sensíveis são as informações, menos pessoas devem ter acesso a esses dados.

Isso reforça a necessidade de contar com as ferramentas adequadas para controle de acesso às informações e, principalmente, para realização de análises de segurança das informações de forma rápida e fácil, focando nos dados de arquivos específicos ou até nas atividades de um indivíduo ou grupo de indivíduos em relação às informações que acessam.

Assim, as empresas vão poder definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio. Segundo informações do último Varonis Data Report, 76% de todas as pastas contêm dados obsoletos, um problema que, inclusive, também é previsto pelo LGPD, uma vez que a lei deixa claro que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Ou seja, contar com as ferramentas adequadas para controle de acesso e análise de segurança das informações para a LGPD, além de facilitar a geração de relatórios para dar aos auditores o poder de determinar se as políticas de segurança apropriadas estão em aplicação, vai melhorar a estratégia de segurança de dados como um todo, reduzindo os riscos para o negócio.

Diante deste cenário, buscar soluções equipadas com tecnologias de análise do comportamento do usuário, como o User Behaviour Analytics (UBA), vai ser o foco para estar em conformidade com o LGPD. Como detectam atividades em tempo real, mostrando exatamente onde um problema está acontecendo, essas tecnologias permitem identificar com precisão quais dados e quais clientes vão ser afetados, aumentando a velocidade de resposta.

Sua empresa já está adequada à LGPD? A Future pode ajudar! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
22 fevereiro 2019
adm.future
0
Categories: Blog, Notícias

LGPD e GDPR: 7 princípios que a TI deve colocar em prática

No mundo digital, a informação se tornou a principal moeda de troca, sendo utilizada por usuários para acesso a determinados bens e serviços. Cada vez mais a economia nesse ambiente gira entorno de dados pessoais, fazendo-se necessária a delimitação do uso e acesso das informações coletadas e trocadas para poder preservar direitos fundamentais dos usuários.

A coleta e utilização de informações pessoais sempre foi uma prática comum de empresas ao redor do mundo, seja para entender melhor clientes e suas necessidades seja para enviar intermináveis e-mails de propaganda. Essa prática tão cotidiana fere o direito universal à privacidade, pois utiliza dados pessoais sem o consentimento do proprietário.

O vazamento de conteúdos pessoais de clientes e consumidores de produtos e serviços online tornou-se notícia do dia a dia ao redor do mundo. No Brasil, o caso mais famoso foi o vazamento das fotos da Atriz Carolina Dieckmann em 2012, o que acarretou na criação de lei com o seu nome, responsável por punir crimes cibernéticos.

O GDPR – General Data Protection Regulation

Na última década, as autoridades mundiais buscaram alternativas e soluções para o controle da privacidade de dados pessoais, criando leis e regulamentos que respeitem informações pessoais de usuários da internet. A União Europeia foi pioneira no assunto, criando a primeira diretiva de proteção de dados em 1995.

Em 2018, essa diretiva foi atualizada com a entrada de um regulamento oficial para a proteção de dados pessoais, conhecido como GDPR. Esse conjunto de leis determina como devem ser tratados os dados pessoais de cidadãos europeus e tem como uma de suas bases o consentimento que a pessoa pode dar (ou não) para sua utilização. Em caso de infração, multas de até 20 milhões de euros podem ser aplicadas. Para nós, isso significa que uma empresa ou órgão Brasileiro que forneça serviços ou então utilize dados de um cidadão da União Europeia deverá respeitar as diretrizes impostas pelo GDPR, caso contrário, poderá sofrer aplicação destas multas.

O objetivo do GDPR é garantir não só a privacidade de qualquer cidadão em solo europeu, mas também assegurar que empresas do continente realizem negócios apenas com empresas que respeitem esses direitos.

A LGPD (Lei Geral de Proteção de Dados Pessoais)

No Brasil, os debates sobre privacidade de dados pessoais tiveram os seus primeiros passos em 2014, com a assinatura do Marco Civil da Internet, avanço importante para uma legislação baseada em transparência e privacidade. E agora, avançamos para a Lei Geral Proteção de Dados, (ou LGPD, como também é chamada), sancionada em 14 de agosto de 2018, que entrará em efetivo vigor em fevereiro de 2020.

Com esse conjunto de leis, empresas e órgãos governamentais que coletam, processam ou armazenam dados pessoais deverão estar adaptados conforme as novas regras, ficando sujeitos a multas que podem chegar a R$ 50 milhões.

Privacidade e Desenvolvimento de Software

A privacidade e proteção de dados são assuntos de extrema relevância no momento nas áreas de TI e em compliance. Como colocar isso em prática quando falamos de desenvolvimento de sistemas e tecnologia? Utilizando o Privacy by Design.

Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas. Seu conceito foi resumido e simplificado em 7 princípios básicos:

  1. Ser proativo e não reativo (prevenir e não remediar) – Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram.
  2. Privacidade como configuração padrão – Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário.
  3. Privacidade incorporada ao projeto – A proteção dos dados pessoais deve ser pensada como parte indissociável do projeto de arquitetura do sistema ou da prática de negócio, ou seja, desde a concepção.
  4. Funcionalidade total – “Soma-positiva” ao invés de soma-zero – Esse princípio visa garantir a proteção de dados pessoais em consonância com os legítimos interesses e objetivos daqueles que utilizam as informações, sem a necessidade de se fazer trocas desnecessárias como, por exemplo, abrir mão da segurança para conseguir mais dados.
  5. Segurança de ponta a ponta – A segurança das informações pessoais deve ser garantida desde a coleta do dado até sua destruição ou compartilhamento com um terceiro.
  6. Visibilidade e transparência – Abrange diversos aspectos, como informar ao titular do dado quando e para qual finalidade as suas informações estão sendo coletadas até a abertura da plataforma para que entidades independentes possam realizar auditorias e certificar-se de que as informações pessoais estão de fato protegidas.
  7. Respeito pela privacidade do usuário (solução centrada no usuário) – Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.

Como se pode observar, os sete princípios garantem uma abordagem pragmática, que cobre todas as pontas necessárias para estabelecer a proteção dos dados pessoais e o compliance com a grande maioria das normas de privacidade.

Os princípios do Privacy by Design devem gradualmente incorporar-se aos processos de desenvolvimento de aplicações e gerenciamento de dados de todas as empresas, não apenas as de tecnologia. A principal mudança a ser percebida é a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas. O termo DevSecOps (Development, Security & Operation), que integra o item segurança na esteira de desenvolvimento de software certamente ganhará em importância ao cobrir os aspectos funcionais da LGPD.

A natureza do Privacy by Design permite que seja adaptado conforme as necessidades práticas de cada empresa, mas exige que o profissional de compliance se debruce sobre cada um dos princípios para entender como eles deverão ser refletidos nas políticas, procedimentos e processos internos.

Quer se adequar a GDPR e LGPD? A Future pode ajudar! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More
28 janeiro 2019
adm.future
0
Categories: Blog, Notícias

Dia da Privacidade de Dados reforça necessidade de proteção das informações

Muitas pessoas não entendem bem sobre a importância de proteger seus dados, o que pode representar um perigo ainda maior nos dias atuais. Grande parte das empresas no Brasil ainda não implementou medidas técnicas e administrativas para proteger os dados pessoais que coleta e trata, providências que têm entrado na pauta prioritária de grandes empresas, mesmo não nativas digitais. A mudança desse tipo de pensamento é tão urgente, que o Dia Internacional da Privacidade de Dados, celebrado nesta segunda-feira (28/01), vem ganhando um espaço cada vez maior em todo o mundo.

A data chama a atenção para a necessidade de conscientização, ações educativas para prevenção e leis de fiscalização em casos como os de vazamento de dados. Quase que diariamente, os noticiários contam com publicações sobre milhares de dados pessoais divulgados indevidamente na internet. Porém, o problema não se restringe ao ambiente virtual, de acordo com o advogado Rafael Maciel, especialista em direito digital.

“Quantas vezes paramos para pensar sobre por que o vendedor de uma loja pede nosso CPF, e-mail, data de nascimento e outras informações que desnecessária para a compra de um produto? Falta essa reflexão. Afinal, empresas “não digitais” também podem vender esses dados para terceiros e eles podem ser usados até mesmo para a aplicação de golpes”, explica o profissional.

Ocorrências desse tipo têm sido comuns e a omissão ainda é um dos grandes agravantes. Segundo Maciel, há vazamentos de dados, por exemplo, que aconteceram há anos e, apesar de cientes, as empresas não informaram as vítimas. “O controlador de dados de uma empresa tem o dever de notificar os titulares de dados sobre um vazamento que possa trazer risco ou dano relevante para que as pessoas possam buscar maneiras de se proteger de consequências ainda piores. A omissão é uma falha gravíssima e mostra o quanto a população está vulnerável”, alerta o advogado.

A Lei Geral de Proteção de Dados pode ajudar?

Acredita-se que, assim como o Regulamento Geral de Proteção de Dados da Europa (GDPR, na sigla em inglês) tem sido efetivo na prevenção e combate às ações irregulares ligadas à coleta, uso e tratamento de dados pessoais e sensíveis da população, a lei brasileira de proteção de dados (Lei nº 13.709/18) também poderá dar um novo rumo a essa realidade no país.

“Para uma mudança efetiva, as empresas precisam se adequar a todas as regras da Lei Geral de Proteção de Dados. Não apenas pelo medo das multas, mas pela preservação da sua credibilidade e respeito aos seus clientes”, afirma Maciel.

Como prevenir o vazamento dos seus dados?

Enquanto a legislação específica para o tema não começa a valer, cabe a cada indivíduo proteger sua privacidade. Veja algumas dicas do advogado para proteção dos seus dados pessoais na internet:

  • Conheça exatamente todas as funcionalidades ofertadas pelos aplicativos.
  • Tenha atenção às informações das políticas de privacidade, de forma que possa ter controle sobre o que posta, sabendo exatamente quem poderá ter acesso.
  • Evite postar conteúdos comprometedores, mesmo usando filtros de privacidade, pois sempre há um risco de vazamento.
  • Proteja sua senha e utilize mecanismos de autenticação de dois fatores.
  • Não clique em links desconhecidos.

Mantenha seus dados privados. Conte com a Future! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More
3 janeiro 2019
adm.future
0
Categories: Blog, Notícias

Impactos das mudanças na Lei de Proteção de Dados Pessoais

Quem acompanha de perto as estratégias políticas predominantes em nosso país, sabe que, há vários anos, se tornou hábito sancionar pacotes de medidas provisórias no término de mandato presidencial ou final de ano letivo. Portanto, não chegou a ser surpresa a edição da Lei de Proteção de Dados Pessoais – LGPD – Lei 13709/18 – via a publicação da Medida Provisória 869 em 28/12/2018, que trouxe novidades relevantes àquelas organizações ou pessoas físicas que são alvo da lei.

A MP 869/18 teve por objetivo preencher uma lacuna importantíssima, decorrente do veto presidencial que revogou a criação da Agência Nacional de Proteção de Dados – ANPD. A justificativa do veto era que o Poder Legislativo não tinha poderes para propor a criação de uma autarquia vinculada ao Ministério da Justiça, que por sua vez, exercesse suas atividades com independência orçamentária. Daí a fórmula estratégica adotada na Medida Provisória, foi modificar a vinculação hierárquica do órgão mudando o conceito original, para vinculá-lo diretamente com a Presidência da República, sem aumento de despesas à União e com autonomia técnica.

Esta escolha indubitavelmente afetará a autonomia, independência e as decisões de caráter essencialmente técnico inerentes ao tema, em relação ao conceito previsto na primeira versão da Lei de Proteção de Dados Pessoais. Fica no ar uma dúvida: até que ponto uma futura decisão política da Presidência da República poderá suplantar uma análise técnica e independente sobre o escopo da LGPD?

Em outras palavras, a vinculação direta com a Presidência da República, poderá diminuir o alcance do poder das decisões da ANPD, sobretudo se comparado, por exemplo, com a atuação do CADE, quanto a fixação das penalidades ou decisório sobre temas essencialmente técnicos e avessos a interesses políticos?

A formação multissetorial do Conselho Nacional de Proteção de Dados mitiga a influência do Poder Executivo sobre as decisões tomadas pela Autoridade, mas pode não ser suficiente para impedir o sufocamento da autonomia do órgão.

A ANPD não terá função apenas reguladora, mas também sancionadora das penalidades previstas quanto a violação do tratamento de dados pessoais, em busca de efetividade ao controle e fiscalização. Órgãos com funções semelhantes já existem em mais de cem países, que já haviam aprovado anteriormente ao Brasil legislações correlatas para regulamentar a coleta de dados online e offline, o tratamento e transferência internacional de dados, a privacidade, além da implantação de mecanismos de proteção que assegurem ao titular meios para exercer seus direitos e evitar o uso inadequado ou abusivo de seus dados pessoais.

Os pontos relevantes modificados pela Medida Provisória 869/2018, para aqueles que deverão se adequar à Lei Geral de Proteção de Dados Pessoais, que entrará em vigor a partir de 15 agosto de 2020, são os seguintes:

1. Aumento do prazo para adequação aos requisitos da LGPD

A exemplo do que ocorreu na União Europeia, o prazo para a vigência efetiva da LGPD, foi dilatado de dezoito para vinte e quatro meses, ou seja, as adequações necessárias deverão ser efetivadas até 15 de agosto de 2020.

2. Ampliação do escopo de aplicação da LGPD

A primeira versão da LGPD teve o escopo bem ampliado para definir quem deveria se sujeitar ao seu cumprimento. Ou seja, serão alvo da lei aqueles cuja atividade de tratamento de dados tenha por objetivo, a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Anteriormente o foco se restringia apenas aos dados pessoais, cujo objeto do tratamento tenha sido coletado no território nacional.

3. Mudança quanto ao perfil do encarregado da Proteção de Dados Pessoais

A MP 869/18 modificou a atribuição do perfil deste profissional, que deverá existir em todas organizações que se submeterem à LGPD. Este encarregado exercerá o cargo de representante legal para interlocução junto a ANPD além diversas atividades operacionais previstas na lei. Ao contrário do que se interpretava inicialmente, sobre qual deveria ser a relação desta figura com a empresa, restou claro que este encargo não é mais referenciado como sendo contratação como celetista ou de exclusividade de uma pessoa natural. Com as mudanças, está claro que esta atividade poderá ser terceirizada, seja para um escritório de advocacia, prestador de serviço, comitê ou até mesmo um grupo de trabalho especializado sobre o tema.

4. Autorização para que entidades privadas possam tratar dados pessoais sensíveis

A MP 869/18, revogou o trecho da LGPD que impedia que entidades privadas tratassem dados pessoais referentes a órgãos públicos, tais como: segurança pública, defesa, segurança ou atividades de investigação e repressão de infrações penais.

Algumas destas mudanças recaem sobre os dados sensíveis, que informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual.

5. Flexibilização quanto ao tratamento de dados pessoais no setor da saúde

A norma também ampliou a possibilidade do tratamento de dados pessoais sensíveis na área da saúde. A versão anterior da LGPD proibia a comunicação ou o uso compartilhado de dados sensíveis do setor da saúde, com o objetivo de obter vantagem econômica, exceto com o consentimento do titular nos casos de portabilidade.

Agora, a exceção foi ampliada e passa a valer também para casos de necessidade de comunicação para a adequada prestação de serviços de saúde suplementar, ou seja, as atividades que demandem a necessária troca de dados de vários serviços públicos de saúde suplementar.

6. Alcance da atuação da Agência Nacional de Proteção de Dados

A ANPD terá atribuições para criar normas regulamentadoras da Lei Geral de Proteção de Dados, tornando-a mais efetiva, além de determinar as diretrizes específicas que atendam as necessidades de cada ramo de atividade que trata com determinadas informações pessoais de brasileiros, de acordo com sua área de prestação de serviço.

7. Exclusividade da Agência Nacional de Proteção de Dados para aplicar sanções

A ANPD atuará como o órgão central de interpretação das questões relativos à LGPD, podendo requisitar informações, relatórios sobre o tratamento de dados ou qualquer outro diligenciamento dirigido aos controladores e operadores que exerçam o tratamento de bases de dados pessoais, para exercício de suas atividades.

A agência terá exclusividade para aplicar sanções na hipótese de tratamento de dados em descumprimento à legislação, mediante processo administrativo. A Medida Provisória prevê ainda que a atuação da Agência seja articulada com o Sistema Nacional de Defesa do Consumidor e com outros órgãos e entidades ligadas ao tema de proteção de dados pessoais.

Esta exclusividade legal hoje conflitaria, com o papel exercido pelo Ministério Público, que tem atuado de forma proativa, mesmo antes da vigência da lei, para propor termos de ajustes de conduta e multas em caso de vazamento ou outros incidentes envolvendo dados pessoais.

8. A possibilidade de requisição de relatórios de impacto à proteção de dados

Segundo a versão anterior da LGPD, a Autoridade Nacional de Proteção de Dados poderia requisitar ao Poder Público ou as empresas, a apresentação de relatórios de impacto à proteção de dados, nos casos de tratamento de dados para fins públicos e de segurança. Com a nova redação, essa possibilidade deixa de existir, o que dificultará a fiscalização das atividades dos órgãos públicos ou empresas que estejam operando estes dados.

9. Obrigações quanto a transparência das comunicações para o titular dos dados nos casos de cumprimento de obrigação legal e política pública

A obrigação dos controladores de dados pessoais em informar ao titular de forma clara e transparente acerca de qualquer atividade quanto ao tratamento de dados foi reduzida. Com a mudança, não será mais necessário alertar ou buscar o consentimento do titular, quando seus dados forem tratados para fins de cumprimento de obrigação legal ou de política pública.

10. Tomada de decisões automatizadas sobre revisão de dados pessoais

O direito do titular à revisão de seus dados pessoais se mantém, mas esta atividade não demandará ser exercida obrigatoriamente por uma pessoa natural. Ou seja, poderá ocorrer atendimento sistêmico para sanar estas dúvidas.

Foi excluída a possibilidade da ANPD de conduzir auditoria, para verificação de aspectos discriminatórios no tratamento automatizado de dados pessoais. Entretanto, a autoridade poderá a qualquer momento requisitar informações acerca do assunto aos controladores e operadores.

11. Uso compartilhado de dados pessoais pelo poder público

Está preceituado na Medida Provisória, a transferência de dados pessoais de responsabilidade do Poder Público para entidades privadas. Será necessário, entretanto, que sejam atendidos os seguintes requisitos: i) o ente privado ter um encarregado; (ii) havendo previsão legal ou em instrumentos jurídicos administrativos; (iii) quando a transferência for para fins de prevenção à fraude, segurança e integridade do titular dos dados; e (iv) dados forem publicamente acessíveis.

Conclusão

Em resumo, se por um lado a MP 869/18 ampliou o prazo para a adequação à Lei de Proteção de Dados Pessoais em seis meses, por outro, a lacuna que faltava para garantir a maior efetividade do poder regulatório sobre dados pessoais em nosso país foi preenchida.

É inegável as mudanças no texto da LGPD flexibilizaram as operações envolvendo dados pessoais em vários níveis, sobretudo criando diversas vantagens para o Poder Público em suas atividades operacionais.
Ainda é duvidoso o alcance da autonomia que uma autoridade fiscalizadora de um absolutamente tema técnico, submissa a Presidência da República onde, como se sabe sempre prevalece o aspecto político como centro das decisões.

Embora a Medida Provisória 869/18 tenha aplicação imediata, sua conversão em lei, está sujeita a aprovação do Congresso Nacional no prazo máximo de 60 dias, o que significa dizer que sua aprovação será na próxima legislatura.

Sabemos que as diversas obrigações legais que estarão vigentes, afetarão inúmeras atividades operacionais de todos aqueles que se sujeitam à lei, ainda não foram nem de longe sanadas ou sequer analisadas de modo a dar início a rota pela conformidade.

Aqueles que exercem o poder decisório se tornaram alvo de possíveis sanções sobre proteção de dados pessoais tratados em suas organizações. Porém, estes ainda não foram sensibilizados sobre o tema. Sobretudo, devido a um equívoco costumeiro de confundir o assunto como sendo mais um projeto da área de tecnologia da informação. Esta premissa é falsa.

Na verdade, a adoção de medidas protetivas quanto aos dados pessoais deixou de ser uma boa prática para ser tornar obrigação legal. Estas atividades se somam a reputação na mídia digital, segurança cibernética, compliance para formar a estratégia de governança digital corporativa.

Como se sabe, governar não é atribuição operacional dos encarregados de tecnologia da informação, mas sim do board que exerce o poder decisório. Na maioria das vezes estes sequer sabem disso, a não ser que um dia uma sanção lhes venha a ser aplicada.

Isto não é um problema atinente apenas a quem exerce o poder decisório, mas também do titular de dados que sequer ainda amadureceu para conhecer de fato os seus direitos e possíveis violações.

O caminho da conformidade legal para a proteção de dados pessoais no Brasil é muito mais longo do que se imagina. Se existia um óbice legal em retardar que as empresas começassem esta rota, devido ao veto quanto a criação da Agência Nacional de Proteção de Dados pessoais, este óbice já não mais existe. O timer está ligado e o período de adequação é muito mais curto do que parece.

Você está preparado? Sua empresa está preparada? A Future é parceira dos maiores fabricantes de segurança, disponibilidade e performance do mundo; e está pronta para auxiliar na adequação de sua empresa a LGPD! Clique aqui e entre em contato conosco!

Fonte: CIO.

Read More
11 dezembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

LGPD deve liderar investimentos em cibersegurança em 2019

O assunto segurança da informação tem ganhado destaque dentro das empresas – seja pelo bem ou pelo mal. O ano de 2018, por exemplo, registrou inúmeros casos de vazamento de dados que resultaram em prejuízos financeiros e desgastes para a reputação de grandes empresas.

Para a Blockbit, fornecedora global de produtos de cibersegurança, esses incidentes representam desafios ainda maiores para organizações nos próximos anos.

Marcel Mathias, Diretor de P&D da Blockbit, comenta que, no Brasil, a partir de 2019 as empresas precisarão definir investimentos para estar em compliance com a LGPD (Lei Geral de Proteção de Dados) – recentemente aprovada pela Presidência da República -, protegendo clientes de forma adequada, prevenindo o vazamento de dados e evitando severas penalidades.

Para o especialista, empresas passarão a se preocupar mais com a proteção de dados por conta do reforço da lei. “Mas essa é uma mudança boa para o mercado, pois nos últimos anos vimos inúmeros incidentes ocorrer por falta de adoção de medidas de segurança da informação, seja em relação a tecnologia basilar, seja em relação a gestão eficaz”, disse.

Liderada pela adaptação à LGPD, as seis tendências de cibersegurança para 2019 são:

Privacidade com transparência

A LGPD determina a adoção de medidas técnicas de segurança, mas não define quais. E para definir medidas adequadas, as empresas precisão aumentar a visibilidade sobre o seu ambiente de TI. As ferramentas de proteção ativa contra ameaças (detecção) serão importantes, mas também as de gestão de vulnerabilidades (prevenção) e registro de atividades (auditoria). Segundo Mathias, além da proteção, para estar em conformidade as organizações também devem estar preparadas para reportar eventuais incidentes e ataques aos órgãos competentes. “Esse estágio também demanda tecnologia integrada a todas as ferramentas e garante não apenas a conformidade com a lei, como mais transparência”, apontou.

Menos complexidade na gestão de cibersegurança

“As empresas devem estar preparadas para ameaças cada vez mais avançadas, mas precisam de soluções que simplifiquem suas análises, tornando a tomada de decisão mais ágil”, alertou o executivo. Para ele, os próximos anos serão decisivos para posicionar a segurança da informação como fator estratégico para as empresas. Para investir mais em cibersegurança, o mercado demandará soluções mais integradas, que diminuam a complexidade da gestão de segurança e overhead financeiro e técnico.

Segurança no escopo

Mathias alerta também para a necessidade urgente que é adotar segurança desde o escopo de desenvolvimento (security by design) de qualquer produto ou serviço. Tecnologias como internet das coisas (IoT), computação em nuvem e soluções para mobilidade avançam ano a ano e será preciso oferecer uma experiência mais segura para os usuários.

Máquinas inteligentes

Outra tendência crescente é o uso de machine learning, mas esta é uma faca de dois gumes. Por um lado, a indústria está evoluindo e empregando técnicas baseadas em aprendizado de máquina para detectar ameaças e ataques. Por outro, esse mesmo aprendizado pode ser aplicado pelos criminosos, para desenhar e customizar suas técnicas. Ou seja, como é utilizada para garantir a segurança das informações, a tecnologia também será aplicada para desenvolver ataques cada vez mais sofisticados.

A onda de sequestros virtuais continua

Ransomware continuará a preocupar nos próximos anos, porém inaugurando uma nova era de ataques mais direcionados. Com a perspectiva maior retorno financeiro, os alvos serão principalmente as pessoas jurídicas e os ataques mais customizados.

Contudo, a onda de sequestros abrangentes não perderá força, porém a principal ameaça será o criptojacking, um golpe baseado na exploração de dispositivos (mobile e desktop) para minerar criptomoeadas. A diferença desta técnica é que não interessa ao atacante bloquear as funções do dispositivo, como no caso do ransomware. Ao contrário, interessa a exploração anônima de um dispositivo em pleno funcionamento, para minerar por mais tempo.

Em ambos os casos, haverá uma grande demanda de uso de serviços de Threat Intelligence, monitorando atividades na Deep Web, onde há uma rede de troca de informações e venda de aplicações maliciosas para promover estes tipos de ataque.

Atenção às técnicas básicas

Embora não sejam novidades, ataques distribuídos (DDoS), ataques baseados em força bruta e, principalmente, as técnicas a serviço da engenharia social, que focam na camada humana, continuarão crescendo. A evolução dos formatos de phishing e fraudes cibernéticas é um grande ponto de atenção e demanda que as empresas sejam diligentes na gestão de segurança e incentivem os seus usuários a conhecer mais sobre cibersegurança. “O aperfeiçoamento na engenharia social é constante, pois funciona como uma primeira etapa para diversos tipos de golpes, explorando a camada mais suscetível a falhas, que é o usuário”, finalizou Mathias.

Quer investir em cibersegurança em 2019 e adequar sua empresa ao LGPD? Conte com uma consultoria Future! Somos parceiros dos maiores fabricantes de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: ComputerWorld.

Read More
4 dezembro 2018
adm.future
0
Categories: Blog, Notícias

Classificação de dados é a chave para proteger as informações, incluindo o cumprimento das normas GDPR e LGPD

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana e alertou para o cumprimento da LGPD: “as empresas precisam saber que tipo de informação têm, se são armazenadas e como lidar com isso”.

Embora as organizações estejam cada vez mais preocupadas com a proteção de dados, muitas não possuem as ferramentas adequadas para proteger suas informações e não aplicam a classificação de dados a seus processos de coleta, processamento e tratamento de dados.

Os sistemas foram projetados para visualizar os dados como “pertencentes à empresa” e não ao “indivíduo que os compartilhava” com a organização. Com a chegada do GDPR e da LGPD, as organizações estão tendo que se adaptar à nova realidade.

Martin Sugden, CEO da Boldon James, esteve no Brasil esta semana para conversar clientes e parceiros locais e em um encontro com jornalistas, alertou para o cumprimento da LGPD: “As empresas precisam saber que tipo de informação têm, se é armazenado e como lidar com isso”.

De acordo com Sugden, “Depois de entender as informações que você tem e onde as informações são armazenadas, você pode tomar decisões sobre o nível de segurança a ser aplicado, quem pode acessá-las, caso seja criptografada ou anônima. A estratégia de segurança atual deve levar em conta que as regras de GDPR e LGPD são rígidas e que qualquer informação deve ser protegida onde quer que ela esteja, incluindo em dispositivos móveis, na cadeia de suprimentos ou com consultores”, comentou. “Os usuários precisam conhecer, entender e aplicar as políticas de segurança das organizações”, enfatizou.

Martin Sugden citou pesquisas recentes que apontam que pelo menos um terço dos executivos de TI afirmam que a segurança móvel é uma das maiores preocupações, especialmente porque práticas de trabalho modernas envolvendo dispositivos móveis, mídias sociais e BYOD, “o que facilita a perda ou o compartilhamento de dados”, afirmou ele.

De acordo com o CEO da Boldon James, as empresas de serviços financeiros relatam mais preocupações sobre segurança de dados, mas são elas que estão entre as empresas que mais investem em políticas e ferramentas de classificação de dados. Com o GDPR e LGPD, os investimentos das instituições bancárias e financeiras em segurança devem aumentar.

“Outras organizações devem seguir o mesmo caminho, para que possam proteger melhor seus dados vitais de negócios”, enfatiza Sugden, que trabalha há 30 anos no desenvolvimento de técnicas de classificação de dados. Ele é responsável por inúmeros projetos pioneiros de classificação de dados em grandes empresas em vários países.

A solução Boldon James permite que as etiquetas sejam filtradas para manipular, reter ou enviar documentos com segurança fora das organizações, seja para dispositivos móveis, parceiros ou clientes. Por exemplo, o executivo lembrou que no ano passado um USB foi encontrado em uma rua de Londres com 76 arquivos sobre a rota tomada pela rainha Elizabeth ao usar o aeroporto de Heathrow, incluindo o horário das patrulhas do aeroporto contra ações terroristas.

“Esses dados não devem ser baixados e devem ser criptografados. Um rótulo simples acionaria uma ferramenta de gerenciamento de direitos para impedir que isso acontecesse”, comentou.

“Você sabe o que é crítico em sua empresa? Se a tecnologia de classificação de dados fosse aplicada em conjunto com uma solução de prevenção de perda de dados ou gerenciamento de direitos, essa perda de dados sensível provavelmente teria acontecido”, disse Martin Sugden.

A Boldon James atua no Brasil através de uma rede de parceiros locais, incluindo Apura, Netconn e B & A – Brasiliano & Associados. Para a empresa brasileira deve considerar as oportunidades que a GDPR e LGPD oferecem para elevar o nível de segurança dos dados.

“Os parceiros locais podem ajudá-lo a fornecer uma solução abrangente para atender às suas demandas regulatórias”, destaca o executivo.

Quer adequar sua empresa ao LGPD e/ou GDRP? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: CryptoID.

Read More
28 novembro 2018
adm.future
0
Categories: Blog, Notícias, Segurança

Lei de Proteção de Dados impõe novos comportamentos a usuários e empresas

Há poucos meses do início de sua vigência, a Lei Geral de Proteção de Dados ainda é terreno obscuro às empresas (públicas e privadas) e também aos usuários brasileiros. O tema, que já vinha sendo discutido no país desde o ano 2000, ganhou relevância após a aprovação do GDPR (General Data Protection Regulation), na Europa, em maio deste ano, possibilitando maior controle das pessoas sobre suas informações pessoais.

Segundo Roberto Stern, CEO da Adamos Tecnologia, apesar de ambas terem nomes semelhantes, o GDPR e a LGPD possuem alguns aspectos diferentes. “A GDPR é mais abrangente e detalhista. A LGPD tem diversos aspectos dúbios e sem definições detalhadas, salvo a regulação da proteção e armazenamento de dados pessoais”, explica Stern, especialista em segurança da informação.

Nos poucos meses de vacatio legis, empresas públicas e privadas, bem como os usuários de seus serviços, precisam se adequar aos aspectos legais e entender a nova dinâmica comportamental que ela gerará a partir da sua incidência, em fevereiro de 2020. Entre os principais desafios que a LGPD traz é a adoção reiterada e demonstrada de mecanismos e políticas internas capazes de minimizar o dano e demonstrar o tratamento seguro e adequado aos dados pessoais, tudo atrelado a um sistema de governança voltada à imediata implementação de medidas corretivas. Porém esses procedimentos não são a realidade em 80% das empresas internacionais, ou seja, as de grande porte, que dirá as nacionais”, aponta Stern.

Segundo o executivo, apesar de alarmante, é bastante comum grandes provedoras de internet, de serviços de e-mail, cloud e até fornecedoras de software não terem um sistema criptografado para a armazenar os dados de seus clientes. “Casos famosos de vazamento de dados provam isso, como ocorrera com o Yahoo, a Netshoes, o Facebook e o Ashley Madison, por exemplo, o que deve ser visto com bastante preocupação pelos usuários, ainda mais quando comparada a estrutura das gigantes do Vale do Silício às empresas nacionais, públicas ou privadas”, alerta o especialista.

Para o executivo, como o objetivo da LGPD é trazer maior segurança aos dados e, ao mesmo tempo, maior autonomia aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais e até optar pelo esquecimento, a população deve ser alertada para a nova e importante dinâmica que a LGPD traz. “Cada pessoa terá o direito ao correto tratamento, armazenamento, correção, sigilo e à criptografia de seus dados”.

“A lei, como qualquer outra, não pretende evitar o uso indevido, mas dará o respaldo jurídico para que cada usuário recorra ao Poder Judiciário fazendo com que os que hajam ilegalmente sejam processados por suas inadvertências, abusos ou fraudes, correndo o risco de pagar multas altíssimas”, aponta o especialista.
Algumas dessas adequações, é manter os dados pessoais de forma segura e sigilosa, ou seja, as empresas necessariamente precisarão adotar um sistema criptografado para realizar o armazenamento e compartilhamento (quando permitido pelo usuário) o mais inviolável possível. “Manter os dados da empresa num backup, em nuvem, e 100% criptografado não será mais uma opção, mas sim uma obrigação. Na Adamos, o que mais chamou nossa atenção, a partir da promulgação da LGPD é que já estávamos com nossa solução, o Safe Cloud Backup, totalmente adequada aos requisitos legais”, detalha Stern.

De acordo com o especialista, como a prática da empresa já era a de usar a criptografia end to end, de forma que somente o cliente final saiba a senha, e todo o conteúdo enviado de maneira automática para o backup à nuvem é inviolável, ninguém tem acesso, logo não é possível realizar tratamento sem autorização nesses dados.

Além disso, a LGPD indica que as empresas, públicas ou privadas, devem informar as finalidades especificas do tratamento de dados, bem como sua forma e duração. Também deverão indicar, de forma transparente, quem é o controlador e quais os seus contatos, bem como se haverá uso compartilhado das informações, elencando, ainda, os direitos do titular sobre os mesmos, entre outros aspectos.

Ademais, dentro da nova legislação, o usuário torna-se mediador de seus próprios dados, ou seja, toda e qualquer movimentação, deve ser autorizada por ele. “Esses são os pilares centrais da LGPD: o consentimento do proprietário dos dados e a definição do motivo da organização coletar os mesmos. Ambos devem caminhar em sintonia, tendo, portanto, as autoridades um papel importante na manutenção do equilíbrio entre os direitos dos usuários e os deveres das empresas captadora dos dados. “O tratamento deve ser explicitado e o consentimento requerido antes do “tratamento”. Ou seja, não será mais possível “monetizar” os dados e informações sem a autorização do usuário”, finaliza o CEO.

Quer adequar sua empresa a LGPD? Leia nossas dicas e clique aqui para entrar em contato conosco!

Fonte: SEGS.

Read More
23 novembro 2018
adm.future
0
Categories: Blog, Notícias

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu.

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a até R$ 50 milhões, ou 2% do faturamento do grupo econômico.

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim. O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações.

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados. Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam.

Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves.

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria – inclusive junto da diretoria. A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados.

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos – seja de tempo ou financeiro -, mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal, garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório – mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema.

Quer adequar sua empresa ao GDPR ou LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: Infor Channel.

Read More

Receba conteúdos exclusivos