Por Marcelo Barsotti, COO da Pryor Global
Em janeiro deste ano, os dados de mais de 223 milhões de brasileiros foram objeto de um mega vazamento e estavam sendo vendidos por cibercriminosos em fóruns de internet. Dentre as informações que se tornaram públicas, estão número de CPF, dados de veículos, cadastro em programas sociais e benefícios do INSS (Instituto Nacional do Seguro Social). O número ultrapassa o da população brasileira, visto que dados de pessoas falecidas também foram vazados.
Mais recentemente, no último dia 10 de dezembro, tanto o site do Ministério da Saúde quanto a plataforma ConectSus, responsável por emitir os certificados de vacinação dos brasileiros, foram alvo de um ataque hacker. Os usuários não estavam conseguindo acessar as informações disponibilizadas pelo sistema, o que acarretou atrasos nos atendimentos para quem estava na fila da vacinação em vários estados do país. Segundo o grupo que alegou a autoria do ataque, cerca de 50 terabytes de dados foram copiados.
Essas duas situações evidenciam a fragilidade do nosso sistema de proteção de dados. É cada vez mais comum nos depararmos com notícias sobre vazamentos, e não só no Brasil, mas em escala global. Os dados se tornaram ativos valiosos, moeda de troca para as mais diversas transações comerciais. E as empresas que realizam o tratamento de dados pessoais de clientes, funcionários e parceiros devem tomar as devidas providências para a segurança dessas informações.
A Lei Geral de Proteção de Dados brasileira (LGPD) foi criada seguindo uma tendência global para a proteção de dados pessoais, que estabelece a segurança jurídica necessária para o tratamento de informações pessoais por parte dos estabelecimentos públicos e privados. Em vigor desde agosto do ano passado, a nova norma, entre outras coisas, garante ao titular dos dados o direito de saber como e para qual fim a empresa coleta suas informações pessoais. Embora as mudanças exigidas pela lei tenham assustado grande parte dos empresários, o atendimento à regulação, além de uma exigência legal, pode melhorar processos internos e até mesmo a imagem da empresa perante seus clientes.
Com a LGPD em vigor, as empresas terão de identificar os tipos de dados que possuem, onde são utilizados, como são coletados, por quanto tempo são retidos, para qual finalidade são obtidos e a forma como são compartilhados. Dessa maneira, elas serão capazes de identificar e eliminar aqueles que não são necessários, reduzindo assim os riscos de violação dos dados, cujas consequências podem ser devastadoras para a reputação de uma marca, com a perda de clientes e os altos custos gerados para as empresas afetadas.
Como os ataques cibernéticos são cada vez mais comuns, a LGPD oferece a oportunidade para que as empresas reavaliem sua estratégia de segurança de dados e implementem as mudanças necessárias para proteger os dados pessoais. Além disso, também é exigida a presença de um Data Protection Officer (DPO), que deve supervisionar todas as atividades que envolvem o processamento de dados dentro da companhia, garantindo o atendimento à lei. Este profissional, o DPO, pode ser contratado como funcionário da empresa ou terceirizado e o importante é que seja corretamente selecionado e orientado sobre os diferentes processos de sua empresa, para que esteja apto a garantir o completo atendimento às exigências da Lei Geral de Proteção de Dados.
Se a sua empresa nacional ou internacional, independentemente do porte, ainda não está adequada às exigências da LGPD procure com urgência estar em compliance com a nova lei e tenha consultores confiáveis para avaliar os seus processos e um DPO focado, que realmente compreenda seus processos e saiba a importância para sua companhia de garantir a segurança dos dados e a privacidade de cada um dos seus consumidores.