(11) 3323-3323

CompugrafCompugraf

  • A Compugraf
    • Sobre
    • Talentos
  • Soluções
    • Segurança da Informação
      • Applications
      • Cloud
      • Endpoint
      • Mobile
      • Network
    • Privacidade de Dados
      • LGPD
    • Redes Corporativas
      • WAN e SD-WAN
      • Consultoria e Gestão
    • Item do menu
    • Serviços
      • Automações e Integrações
      • Serviços Gerenciados
      • Treinamento e Consultoria
    • Segmentos
      • Educação
      • Financeiro
      • Saúde
      • Varejo
      • Indústria
  • Parceiros
  • Materiais
  • Blog
  • Contato
  • Restrito

As cinco maiores tendências de segurança cibernética em 2022

sexta-feira, 14 janeiro 2022 by lmita@compugraf.com.br

O mundo hiper-conectado em que vivemos, sobretudo desde a pandemia global do novo coronavírus que, em março de 2020, forçou uma Transformação Digital acelerada, tem sido particularmente favorável para os cibercriminosos, que se aproveitaram dessa adaptação e da interconectividade para mobilizarem ataques ainda mais nocivos.

Nada ilustrou esse movimento tão bem quanto o caso da SolarWinds, descrito pelo presidente da Microsoft, Brad Smith, como o ataque cibernético mais sofisticado de todos os tempos, e cujas reverberações foram sentidas ao longo de todo o ano de 2021.

A natureza cada vez mais digital do nosso dia a dia representam oportunidades inéditas para phishers, hackers e criminosos cibernéticos em geral. E à medida que avançamos para 2022, não há, infelizmente, nenhum sinal de que esse risco vá diminuir.

Por outro lado, a cibersegurança se desenvolve a passos similares e novos desafios significam, também, novas soluções para manter usuários e dispositivos protegidos contra ameaças. Em sua coluna de cibersegurança, a Forbes elencou as principais tendências do setor em 2022, às quais empresas devem ficar atentas.

São elas:

Segurança cibernética baseada em Inteligência Artificial

Assim como é usada em serviços financeiros para a detecção de fraudes, a inteligência artificial (IA) pode ajudar a neutralizar o crime cibernético, identificando padrões de comportamento que indiquem que algo fora do comum possa estar ocorrendo. Essa aplicação pode ser feita em sistemas que precisam lidar com milhares de eventos ocorrendo a cada segundo, que é normalmente onde os cibercriminosos focam seus esforços.

É o poder de previsibilidade ​​que tornam a IA tão útil aqui, e é por isso que mais e mais empresas estarão investindo nessas soluções à medida que avançamos em 2022.

Além disso, uma pesquisa da Capgemini descobriu recentemente que dois terços das empresas agora acreditam que a IA é necessária para identificar e combater ameaças críticas de segurança cibernética, e quase três quartos das empresas estão usando ou testando IA para essa finalidade.

Em contrapartida, os cibercriminosos também estão cientes dos benefícios da IA, e novas ameaças que usam tecnologias de machine learning para escapar das medidas de proteção da segurança cibernética estão surgindo. Isso torna a solução ainda mais essencial – pois é a maneira mais eficaz de neutralizar ataques cibernéticos movidos a IA.

A crescente ameaça do ransomware

De acordo com o UK National Cyber ​​Security Center, houve três vezes mais ataques de ransomware no primeiro trimestre de 2021 do que em todo o ano de 2019 – e uma pesquisa da PwC sugere que 61% dos executivos de tecnologia esperam que esse número aumente em 2022. Mais uma vez, podemos associar isso ao crescimento da quantidade de atividades realizadas online e em ambientes digitais.

Ataques de ransomware normalmente envolvem a infecção de dispositivos com um vírus que bloqueia dados por trás de uma criptografia inquebrável e ameaça destruí-los, a menos que um resgate seja pago, geralmente na forma de criptomoeda não-rastreável. Alternativamente, os responsáveis pelo ataque podem ameaçar divulgar os dados publicamente, deixando a organização sujeita a enormes multas por conta das novas leis de proteção de dados.

O ransomware é normalmente implantado por meio de ataques de phishing – em que os funcionários de uma organização são induzidos a fornecer detalhes ou clicar em um link que baixa o ransomware (às vezes chamado de malware) em um computador.

No entanto, mais recentemente, uma infecção direta via dispositivos USB por pessoas que têm acesso físico às máquinas está se tornando cada vez mais comum. É preocupante que tenha havido um aumento nesses tipos de ataques direcionados a infraestruturas críticas, incluindo uma instalação de tratamento de água, que por um breve período ficou inoperável, de modo a colocar vidas em risco. Outros ataques de ransomware têm como alvo gasodutos e hospitais.

A educação é a forma mais eficaz de lidar com essa ameaça, com pesquisas mostrando que os funcionários que estão cientes dos perigos desse tipo de ataque têm oito vezes menos probabilidade de serem vítimas.

A Internet vulnerável das Coisas

O número de dispositivos conectados – conhecido como internet of Things (IoT) deve chegar a 18 bilhões até 2022. Uma consequência disso é um número muito maior de pontos de acesso em potencial para cibercriminosos que buscam obter acesso a sistemas digitais seguros.

Ataques que foram identificados no passado incluem hackers usando eletrodomésticos conectados, como geladeiras e cafeteiras, para obter acesso a redes e, a partir daí, acessar computadores ou telefones onde dados valiosos podem estar armazenado.

Além de mais difundida, em 2022 a IoT também vai se sofisticar. Muitas organizações estão agora envolvidas no desenvolvimento de “gêmeos digitais” – simulações digitais abrangentes de sistemas inteiros ou mesmo de empresas. Esses modelos são frequentemente conectados a sistemas operacionais para modelar os dados coletados por eles e podem oferecer um tesouro de dados e acesso aponta para aqueles com intenções maldosas.

Em 2022, é esperado que os ataques a dispositivos IoT continuem e até evoluam. E, mais uma vez, educação e conscientização são duas das ferramentas mais úteis quando se trata de proteção contra essas vulnerabilidades.

Qualquer estratégia de segurança cibernética deve sempre incluir uma auditoria completa de cada dispositivo que pode ser conectado ou ter acesso a uma rede e um entendimento completo de todas as vulnerabilidades que essa conexão possa representar.

Risco de segurança cibernética são um fator-chave nas decisões de parceria

Qualquer operação de segurança cibernética é tão segura quanto seu elo mais fraco, o que significa que as organizações cada vez mais têm enxergado cada elo da cadeia de suprimentos como uma vulnerabilidade potencial.

Isso é confirmado pela pesquisa da Gartner, que prevê que, até 2025, 60% das organizações usarão o risco de segurança cibernética como um “determinante primário” ao escolher com quem fechar negócio.

Regulamentação preventiva para a cibersegurança

Com o custo do crime cibernético para as economias globais definido para US $ 6 trilhões em 2021, esta não é uma situação sustentável. De acordo com a Security Magazine, 2022 deve ser o ano em que os reguladores darão um basta para controlar a situação. Uma consequência disso poderia ser uma expansão das penalidades que atualmente cobrem apenas violações e perdas para também cobrir vulnerabilidades e exposição a danos potenciais.

Outra consequência pode ser um número crescente de jurisdições aprovando leis relacionadas a pagamentos em resposta a ataques de ransomware. Observamos também um número crescente de obrigações legais entregues aos Diretores de Segurança da Informação, em linha com as responsabilidades dos Diretores Financeiros, na tentativa de limitar o impacto de furtos, perdas e violações de dados sobre os clientes.

Embora isso vá inevitavelmente aumentar a responsabilidade ​​pela segurança da informação nas empresas, a longo prazo, será uma coisa boa. Hoje, mais do que nunca, construir a confiança do consumidor e de parceiros é essencial para organizações – e, sobretudo, ter noção de que a segurança cibernéticas, mais do que uma série de atividades preventivas, é um pensamento de gestão.

Mantenha sua empresa segura em 2022. Conheça as soluções da Compugraf e saiba como podemos te ajudar!

IoTLGPDransomwaresegurança da informação
Read more
  • Published in Noticias
No Comments

LGPD: da cabeça à ponta dos dedos, importante é ter uma equipe pensando proteção de dados

quarta-feira, 29 dezembro 2021 by lmita@compugraf.com.br

A Lei Geral de Proteção de Dados (LGPD) é a lei de nº 13.709, promulgada em agosto de 2018 e que entrou em vigência a partir do dia 18 de setembro de 2020. A lei é inspirada na regulamentação europeia de proteção a dados pessoais, a GDPR, também promulgada em 2018.

Dentre seus muitos objetivos que visam assegurar a proteção de dados de pessoas físicas nas mais distintas circunstâncias – da violação de dados por conta de um ciberataque ao uso não-consentido, por parte das empresas -, a legislação elenca, como compromissos principais:

  1. Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários;
  2. Estabelecer regras claras sobre o tratamento de dados pessoais, bem como práticas transparentes e seguras;
  3. Fortalecer a segurança dos titulares dos dados no tratamento de dados pessoais, garantindo a livre-iniciativa, a livre-concorrência e a defesa das relações comerciais e de consumo;
  4. Promover a concorrência e a livre atividade econômica, inclusive com a portabilidade de dados – isto é, a possibilidade de o usuário decidir quem e como seus dados serão tratados;

Mas, embora a lei já esteja em vigor no Brasil desde 2020, ainda há um longo caminho a ser percorrido para que se cumpra em sua totalidade. Muitas empresas ainda têm dificuldade em compreender as orientações da lei e mobilizar os esforços necessários para operar em conformidade.

LGPD veio para mudar a forma como pensamos a cibersegurança

A melhor forma de entender o que muda com a Lei Geral de Proteção de Dados é indo além da atuação prática; isso porque a LGPD nos urge a pensar a cibersegurança de forma mais integrada e mais focada no usuário, e não apenas mudar a atuação a fim de .

É uma diferença sutil, mas que, se tida como norte, elucida sobre as medidas a serem adotadas e o que priorizar, a fim de agir nos conformes da lei.

A corrida pela adequação

Naturalmente, após ser divulgada, a LGPD preocupou líderes de negócios em todo o Brasil, sobretudo devido à notícia de que a fiscalização seria conduzida por uma nova agência, criada especialmente para esse fim – a Agência Nacional de Proteção de Dados, ou ANPD. Saídos de uma cultura mundial em que dados pessoais eram trocados e manipulados sem muita preocupação, as novas práticas elencadas pela lei, e construídas de modo a ter o titular dos dados no centro das operações, refletiram quão atrasados, globalmente, estamos quando o assunto é proteção aos dados pessoais.

Somam-se a isso notícias crescentes de ciberataques, violações e vazamentos de informações confidenciais de pessoas físicas e jurídicas e temos a sensação de estarmos segurando uma bomba-relógio nas mãos.

O movimento inicial na maior parte dos negócios, portanto, foi montar uma operação “de emergência”, para atender às normas da lei. Equipes de TI se viram sobrecarregadas com novos e urgentes afazeres, mas sem a infraestrutura necessária para, de fato, montar um sistema de segurança integrado. E, além disso, em março de 2020, a pandemia do novo coronavírus forçou a maior parte das empresas a operarem em modelo híbrido, ou totalmente em home office: dispositivos pessoais viraram dispositivos de trabalho; arquivos confidenciais eram compartilhados em redes sem medidas básicas de segurança; aplicativos de conversa viraram ferramentas de colaboração – e os times de TI, erroneamente, lidavam com toda a responsabilidade de “proteger os dados dos clientes e colaboradores”.

Foi uma corrida pensada para atender a critérios operacionais, quando, na verdade, a LGPD é muito mais uma mudança de gestão do que uma mudança de ação. Não à toa, ainda estamos distantes de ter empresas operando em total conformidade com a lei.

Pensar a segurança como prioridade

Há um elemento-chave no texto da LGPD para entender como empresas de todos os portes podem começar a se adequar: o foco em gestão de segurança.

A administração de riscos e falhas de segurança é um dos pontos principais destacados pela Lei Geral de Proteção de Dados. Na prática, isso quer dizer que quem gere base de dados pessoais – isto é, as empresas – terá que desenvolver e implementar normas de governança, adotar medidas preventivas de proteção de dados, indicar um representante legal para tratar com a Agência Nacional de Proteção de Dados, bem como estudar e replicar boas práticas e contemplar as certificações de segurança existentes no mercado.

É preciso, ainda, elaborar planos de contingência, conduzir auditorias e se preparar resolver incidentes com agilidade. Na ocorrência de um vazamento de dados, por exemplo, a ANPD e os indivíduos afetados devem ser imediatamente avisados.

A princípio, muitas dessas responsabilidades foram atribuídas a duas figuras que ganham prevalência na lei: o Data Protection Officer (DPO) e o agente de tratamento de dados, que pode ganhar a forma de uma empresa terceirizada para esse fim. Embora não sejam atribuições equivocadas, o que está pesando na maioria dos negócios é que não se trata, apenas, de criar novos cargos e contratar profissionais ou fornecedores para preenchê-los. É preciso construir uma nova cultura de segurança, ou de compliance.

A governança na LGPD

Da mesma forma que empresas ESG precisam de um comitê de sustentabilidade e uma gestão que permeie os distintos processos da organização a fim de que se cumpram as diretrizes que classificam um negócio como ESG, algo similar ocorre com a LGPD.

Trazer a segurança como uma estratégia paralela ao negócio não é o caminho. A cultura do direito à privacidade e à proteção dos dados pessoais deve perpassar processos, investimentos e tomadas de decisão.

É por isso que uma equipe de compliance, com profissionais preparados para orientar sobre o melhor caminho a ser seguido pensando nos interesses do negócio e na segurança de usuários e colaboradores, é essencial para a conformidade com a LGPD.

Essa equipe, formada por especialistas de diferentes áreas – do Jurídico à Tecnologia – combinará esforços e conhecimento para dar o norte às organizações, a fim de que sejam mobilizados os esforços necessários, no ritmo adequado, considerando a estrutura e os recursos de cada negócio.

Na Compugraf, nós reunimos um time de especialistas dedicado a estudar e nos orientar sobre as diretrizes da nova lei. Nós entendemos que essa é a melhor forma de assegurar que a proteção de dados e a segurança de nossos parceiros, clientes e colaboradores permeia todas as decisões do negócio.

É preciso cuidar para que a preocupação com o compliance não se transforme em uma corrida desenfreada por medidas paliativas.

As falhas de segurança podem gerar multas de até 2% do faturamento anual da empresa no Brasil, com um limite de R$ 50 milhões por infração; a ANPD fixou níveis de penalidade segundo a gravidade das falhas de segurança e emite alertas e orientações antes de aplicar sanções às organizações, mas permitir que isso vire um jogo de gato e rato – indo atrás de corrigir problemas após uma notificação, em vez de preveni-los -, é insustentável.

Websérie: Squad LGPD Compugraf

Quer saber como implementamos a Lei Geral de Proteção de Dados na nossa empresa?

Aqui na Compugraf, nos atualizamos diariamente para ficar por dentro de tudo que envolve a LGPD e, pensando nisso, preparamos uma websérie para que você possa acompanhar um pouco do trabalho da nossa equipe de especialistas e entender melhor as diretrizes da nova lei!

Basta acessar a Websérie: Squad LGPD Compugraf e se cadastrar para não perder nenhum episódio! Acompanhe!

LGPDproteção de dadossegurança da informação
Read more
  • Published in LGPD, Noticias, Privacidade de Dados
No Comments

Entrando em conformidade com a LGPD com o auxílio de uma ferramenta

quarta-feira, 23 setembro 2020 by admlan

Entrar em conformidade com a LGPD pode ser mais fácil com a ajuda de uma Solução de Automação da Gestão de Privacidade, como a OneTrust.

Módulos da LGPD

A LGPD, Lei Geral de Proteção de Dados, sofre conflitos para entrar em vigor no Brasil na data prevista mais recente: em agosto de 2020, após 2 anos; uma série de alterações e tentativas de novos adiamentos no mês de sua vigência de sua vigência.

Estamos trabalhando arduamente para te manter informado sobre as novidades da LGPD e já criamos dois grandes artigos sobre o tema, no primeiro reunimos tudo sobre a LGPD e no segundo trazemos todas as principais novidades da lei.

Caso não sofra mais nenhuma alteração, a lei entra em vigência com um detalhe importante: A ANPD, Agência Nacional de Proteção de Dados, seu órgão regulamentador, só deve passar a funcionar em 2021, essencialmente para:

  • Estabelecimento de padrões técnicos;
  • Determinação para a elaboração de Relatórios de Impacto,
  • Fiscalização e aplicação de sanções, atividades de difusão e educação sobre a LGPD.

Na prática, isso significa que teríamos uma lei em vigor que não será monitorada por seu principal órgão no primeiro ano de vida, o que não significa que suas regras deverão ser ignoradas, pois outros órgãos competentes, como o Procon (Programa de Proteção e Defesa do Consumidor) podem ser acionados durante uma infração.

Mas note que no caso de um acionamento como o Procon, as mesmas multas e sanções da ANPD, que incluem advertências e o pagamento monetário de 2% do faturamento da empresa até R$50 milhões, por infração; não se aplicam.

Ou seja, durante o primeiro ano da LGPD, as multas e sanções não seriam aplicadas, mas especialistas alertam que os acionamentos por outros órgãos tornaram-se provas para uma reincidência de infrações quando a ANPD passasse a funcionar oficialmente em todo o país.

Por isso, enquanto a lei passa por diversas conflitos de interesse, as empresas não devem esperar para ver o que acontece, pois quanto mais adequadas a lei geral de proteção de dados no momento de sua vigência, menos serão os riscos de multas e denúncias envolvendo o vazamento ou qualquer outra infração de privacidade de dados.

Em nosso programa, “Em Foco” a gente separou te explica os princípios legais da Lei Geral de Proteção de Dados:

Histórico de alterações nas datas de vigência da LGPD

** Nota: Este histórico será constantemente atualizado, nossa última versão conta com informações do dia 23 de setembro de 2020. Caso encontre alguma divergência, entre em contato com a gente.

Atualização 18/09 – A Lei Geral de Proteção de Dados entra em vigor

Após sanção presencial, a LGPD passou a valer no dia 18 de setembro de 2020, dois anos após a primeira versão da lei. A cobrança de multas e atuação da ANPD continuam datadas para agosto de 2021.

Atualização 26/08 – ainda não entrou em vigor

A MP 959/20, que sugeria uma nova data para que a Lei Geral de Proteção de Dados entre em vigor, mas foi barrada pelo Senado. Sendo assim, a LGPD segue com as alterações aprovadas para a sanção presidencial.

Atualização 25/08 – ainda não entrou em vigor

O texto original da MP 959/20 foi alterado e aprovado com sucesso na Câmara, o qual sugere uma nova data para que a Lei Geral de Proteção de Dados entre em vigor. Caso seja aprovado em votação no dia 26/08, a LGPD passará a entrar em vigor somente no dia 31 de dezembro de 2020.

A votação ocorre no dia 26/08 às 16h na TV Senado (horário de brasília) em uma única sessão, e caso aprovada, seguirá para o aceite final e a sanção presidencial. A data sugerida pela nova versão da MP é vista positivamente por especialistas, além de envolver um acordo prévio entre todos os poderes (Executivo, Câmara e Senado).

Atualização 20/08 – ainda não entrou em vigor

Visto como um importante passo na saúde e proteção de dados no país inteiro, o texto original da MP 959/20 foi retirado da pauta do dia e movido para o dia 25/08. E isso é um ótimo exemplo sobre como a lei tem sido menosprezada por aqui.

As mudanças constantes na data de vigência, assim como uma série de lacunas a serem preenchidas pela lei brasileira é resultado de um conflito de interesses muito grande no Brasil.

Atualização 19/08 – ainda não entrou em vigor

Não houve consenso entre os deputados sobre a MP 959 na votação de ontem, 18/08 e a mesma não está planejada para ser abordada nos próximos dias. No entanto, é possível que isso mude e tenha prioridade dada a urgência do tema.

A data limite para que a MP ainda tenha validade e possa ser votada pelas duas autoridades (Câmara e Senado), é dia 26/08.

Atualização 11/08 – ainda não entrou em vigor

O início dos conflitos da LGPD em sua proximidade com a possível aprovação. A lei estava prevista para entrar em vigor neste mesmo mês, mesmo sem ANPD, o que não deve ser reconhecido até que a MP 959, que adia seu lançamento, seja votada.

Note que todas as alterações da LGPD buscam adiá-la sempre que possível, embora exista uma resistência que tente ao menos mantê-la para o final de 2021, independente da abertura da Agência Nacional de Proteção de Dados.

O grande problema dessa facilidade de postergação da lei é a reputação dela frente ao mercado, que perde o poder de impacto cada vez que é adiada, já que muitas empresas podem se achar no direito de também lidar com isso “mais tarde”.

Do ponto de vista prático da história, as empresas que ainda não estão se adequando estão apenas perdendo a valiosa oportunidade de fazer o processo com a calma e planejamento que ele demanda, pois apesar de todas as confusões, não há nenhuma possibilidade de a LGPD não acontecer em algum momento futuro.

Após quase 2 anos desde a primeira data divulgada para a vigência da lei, a LGPD certamente ainda não é perfeita e pode não fazer sentido pra muita gente quando é anunciada antes mesmo do seu órgão regulamentador, mas nessas horas vale recordar sobre a importância de estar em conformidade caso a sua empresa possua relações internacionais com outros países.

Isso porque tanto a GDPR quanto outras leis de proteção de dados especificam que ações como a transferência de dados só poderão ser realizados sob condições específicas, as quais garantam que os dados serão devidamente tratados quando transferidos para o país de destino. Portanto se você não quer ter os negócios afetados, o compliance é importante.

Saiba tudo sobre LGPD em um único lugar

A Compugraf acompanha todas as notícias sobre a Lei Geral de Proteção de Dados desde o início de sua vigência, e sabendo de todas as mudanças que a lei ainda pode sofrer, assim como também na centralização das informações de maneira acessível, criou uma página exclusiva para abordar o tema.

A página que criamos é certamente uma das mais completas da internet e nela reunimos todas as informações atualizadas da LGPD em um acesso multimídia envolvendo textos, podcasts e vídeos ao longo de três temas de extrema importância para entrar em conformidade: o contexto, as consequências, e como entrar em conformidade.

LGPD e o direito à Segurança de Dados Pessoais

Contextualizando a LGPD

Se mesmo em 2020 você ainda está confuso sobre a existência da Lei Geral de Proteção de Dados, a gente te explica mais uma vez.

A LGPD nasceu como uma resposta direta a leis semelhantes de outros países e sob total influência da recém lançada GDPR. A Lei brasileira nº 13.709 foi bem aceita em em agosto de 2018, mas diversos pontos a serem revisados e as restrições na aprovação de seu órgão regulamentador, a Agência Nacional de Proteção de Dados, fizeram com que sua vigência tivesse a data alterada.

O problema é que essas alterações de data nunca terminam, pois ainda hoje a lei sofre com essa possibilidade, o que gera um mal estar geral na relação do brasileiro com as novas práticas de proteção de dados no país

A intenção da LGPD é genuína e totalmente necessária, buscando criar um cenário de segurança jurídica e a padronização das normas e práticas para garantir a proteção de dados coletados, armazenados e tratados no Brasil, assim como manter a segurança durante uma eventual transferência internacional de dados.

O que sempre foi bem específico em relação a LGPD, foi sua intenção de proteger dados pessoais; assim como a definição do que são dados pessoais e possíveis cenários que os tornam mais ou menos sensíveis, especialmente em relação a informações envolvendo crianças e transferência internacional de dadosicas propostas pela LGPD são inerentes ao meio, isso quer dizer que as mesmas se aplicam tanto ao mundo físico, quanto ao virtual, impactando todas as empresas de alguma maneira, especialmente as que operam no modelo B2C, Business-to-consumer, mas não excluindo as que atendem empresas (B2B), pois em todos os casos haverá o armazenamento de dados pessoais (como no cadastro de funcionários)

Outro ponto importante é a titularidade dos dados, que agora possui maior controle e mais responsabilidades em relação a permissão de coleta, armazenamento e tratamento dos dados pessoais, embora ainda sejam limitados. Um usuário pode, por exemplo, solicitar a exclusão de dados que já foram autorizados no passado a qualquer momento; mas não pode evitar que seus dados sejam usados para o cumprimento de ações legais, como as inclusas em contrato.

A LGPD prevê advertências e multa para empresas que cometerem infrações, as quais podem chegar a R$50 milhões, ou valor inferior que represente 3% do valor anual da empresa referente ao exercício do ano anterior, e embora o valor não represente grandes prejuízos para grandes corporações, startups, pequenas e médias empresas devem ser muito prejudicadas pelos valores devidos nesse cenário.

Mas conforme já frisamos em alguns momentos, as multas monetárias são apenas a cereja do bolo se pensarmos sobre como a reputação de uma empresa poderá ser prejudicada a partir do momento em que sofrer penalidades por não cuidar dos dados dos próprios usuários ou até mesmo funcionários, o que pode cair muito mal para os negócios.

Uma empresa pode ser multada múltiplas vezes, sendo que o valor é referente a cada infração cometida, e a constância dessa série de ocasiões pode resultar na proibição de operação da empresa no país, sendo a consequência mais séria dentro da proposta de lei.

Para fazer toda essa gestão e implementação de soluções em segurança da informação e privacidade, a LGPD, inspirada na lei europeia, prevê um profissional específico: o DPO, Data Protection Officer – que terá o papel de garantir que a empresa mantenha as melhores práticas e que todos os setores estejam em conformidade com a lei.

Antes mesmo de a lei ser aprovada, muitos já se perguntaram o que vai acontecer com suas empresas quando a data chegasse. Em nosso “CyberTalks” conversamos com a Carla Manso sobre como isso deve impactar as organizações daqui pra frente.

10 Principais Pontos da LGPD

Dentre tantas informações disponíveis sobre a LGPD, fica difícil definir as informações mais relevantes para quem está começando a se informar agora, além das multas e sanções, pois as mudanças constantes na lei também atrapalham nessa priorização de informações, além de todo o misto de informações desatualizadas que pode confundir as pessoas que não estão tão próximos do que acontece no desenvolvimento da lei.

Em geral, é importante entender que ela veio pra somar e melhorar a nossa relação com os dados pessoais, embora possam trazer desafios iniciais em conceitos como Big Data, Marketing, Data Mining e a Análise de Dados.

Essas melhoras no relacionamento com dados pessoais não é aleatória, afinal, hoje já é comum ouvir que os dados pessoais são as informações mais importantes da internet, já são considerados o “petróleo do século XXI”.

Plataformas e aplicativos sempre usaram e abusaram de informações pessoais e se beneficiaram do uso dessas informações com a possibilidade de utilizar anúncios com base no que foi aprendido, mas isso é uma das coisas que deve mudar com essa nova relação do uso de dados.

Os vazamentos de dados nos últimos anos, não foram poucos e não afetaram somente pequenas empresas, e grandes incidentes a até mesmo guerras cibernéticas, a gente sempre busca manter você informado sobre o que acontece no mundo em relação ao mundo da segurança da informação e privacidade de dados.

Embora soe como algo muito recente, a preocupação com a privacidade como um direito é algo histórico. Existem relatos que associam o fato aos final dos anos 1800, logo após o final da Segunda Guerra Mundial. Mas o evento mais direto a isso vem de 1970, quando surgiram os primeiros computadores.

Na época, as pessoas estavam empolgadas na mesma medida em que estavam assustadas com a possibilidade que essa nova máquina estaria trazendo para suas vidas.

Seria uma ferramenta de espionagem do FBI? Pois é, dúvidas assim não eram nada incomuns.

Na década de 80 surgiu na Europa a Convenção de 108 do Conselho da Europa para a Proteção das Pessoas Singulares, o que era uma associação ao respeito ao tratamento de automatizado de dados pessoais e em 1995 a Diretiva 95/46/EC do Parlamento Europeu e do Conselho, foi adotado.

E tudo isso tem preparado o cenário para o que vivemos hoje, seja através das histórias sobre a GDPR e outras leis de proteção de dados pessoas ao redor do mundo, como nas próprias experiências no Brasil, que remetem aos primeiros momentos do brasileiro com uma lei que é especificamente sobre isso.

  1. Qual o objetivo da lei de proteção de dados

O objetivo da Lei Geral de Proteção de Dados é o de regulamentar o tratamento de dados pessoais por empresas, pessoas ou entidades do setor público, em todos os meios possíveis (desde anotações informais em papéis, até o que está armazenado nos arquivos do computador).

Essas regras aplicam-se a todos os dados no Brasil, mas também influenciam nos dados que são transferidos de ou para o país, com leis requisitos para tornar o processo possível e seguro.

A lei é válida para todo o Brasil, e nas ocasiões em que tenha como objetivo a oferta ou fornecimento de bens ou serviços a pessoas que residem no país, ou de pessoas que tenham dados coletados aqui.

  1. O que são dados pessoais e os dados pessoais sensíveis?

Dada a amplitude dos dados recolhidos pelas mais diversas plataformas e empresas, uma questão importante diz respeito aos tipos de dados abrangidos pela LGPD. Basicamente, a LGPD regula o tratamento de dados pessoais e dados pessoais sensíveis.

Dados pessoais são informações relacionadas ao titular. O titular pode ser uma pessoa física identificada ou identificável, incluindo nome, endereço, e-mail, idade obtida através de qualquer forma de suporte (papel, eletrônico, computador, etc.) , Estado civil e situação patrimonial), som e imagem, etc.).

A LGPD escolheu um conceito amplo que abrange dados pessoais sem uma lista exaustiva, o que dá à lei uma vida útil mais longa e deixa a definição de seu escopo para suas autoridades regulamentadoras.

Dados pessoais relacionados à raça ou origem étnica, crenças religiosas, opiniões políticas, filiação a um sindicato ou organização de natureza religiosa, filosófica ou política, dados relacionados à saúde ou vida sexual são considerados informações confidenciais, assim genes ou dados biométricos associados a pessoas físicas .

A Lei Geral de Proteção de Dados trata esses dados de forma mais estrita e proíbe o processamento, exceto em circunstâncias especiais estabelecidas pela lei.

  1. O que compõe um tratamento de dados na LGPD?

LGPD se aplica a quaisquer operações sobre dados pessoais, como coleta, produção e recepção. Os dados da entidade são inseridos em todo o estágio permanente, até finalmente sair da transmissão, difusão ou extração anterior (ou seja, cobertura ponta a ponta).

Para as pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos para fins jornalísticos e artísticos, assim como documentos acadêmicos, de segurança pública, defesa nacional, segurança nacional ou atividades de investigação.

Excluem-se também os casos em que os dados estejam no Brasil de maneira transitória, ou seja, esse cenário não implica na aplicação da LGPD em dados pessoais de fora do território do país quando estão em trânsito e não são objetos de troca ou compartilhado com os agentes de tratamento de dados no Brasil. Isso também ocorre em outros países, que aplicam regras diferentes.

  1. Quem são as pessoas visadas pela LGPD?

Em primeiro lugar, é importante entender se é cidadão brasileiro ou não, a depender de como é comprovado como o titular desfruta de seu rico direito informacional à autodeterminação e titularidade de seus dados pessoais.

De acordo com a lei, as pessoas que processam os dados são classificadas como agentes de processamento, sendo os principais os controladores, que podem ser pessoas físicas ou jurídicas..

Além do controlador, que geralmente é o agente que se comunica diretamente com o titular, também existem atividades terceirizadas de processamento de dados realizadas por um agente denominado operador. O agente pode ser uma pessoa física ou jurídica, uma empresa privada ou do governo e é responsável pelo processamento.

De forma semelhante ao GDPR, embora suas capacidades e responsabilidades sejam inferiores às do DPO (Data Protection Officer) na lei europeia, a legislação brasileira define um responsável nomeado como encarregado, atuando como um canal de comunicação entre controladores, detentores e as autoridades nacionais.

  1. Quais empresas serão afetadas pela LGPD?

A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, mas também abrange todas as empresas que processam dados pessoais de alguma forma.

Como a lei não restringe os dados pessoais armazenados digitalmente, de fato, quase todas as empresas registram algum tipo de informação pessoal, como dados de funcionários, contato com fornecedores (como nome, telefone, e-mail e endereço), dentre outros.

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

  1. Quais são os direitos dos titulares dos dados?

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

Portanto, o titular dos dados deve ser informado da finalidade, forma e duração do processamento de dados, quem será o controlador, o compartilhamento de dados, as responsabilidades da entidade que detém os dados, e os direitos do titular dos dados devem ser disponibilizados de forma clara, adequada e ostensiva.

Além disso, os titulares dos dados pessoais podem obter do controlador

  • Confirmação do tratamento;
  • Acesso os dados em até 15 dias após a aplicação;
  • Correção de dados;
  • Anonimizar, bloquear ou excluir dados desnecessários, excessivos ou não processados;
  • Portabilidade de dados;
  • Eliminação dados, mesmo com consentimento prévio; Informações de compartilhamento de dados;
  • Informações sobre a possibilidade de não consentimento e suas consequências;
  • Retirar consentimento;
  • Revisar as decisões tomadas exclusivamente com base no processamento automatizado, incluindo definições pessoais, profissionais, de consumidor, de crédito ou de personalidade.

Se o titular dos dados pessoais for uma criança, o tratamento só pode ser realizado com o consentimento expresso de pelo menos um dos pais ou tutor legal. A exceção a essa regra é quando você precisa entrar em contato com um dos pais ou responsável legal, apenas uma vez e sem qualquer uso, ou quando você deve entrar em contato com outras pessoas para protegê-los.

Exceto nas condições estritamente necessárias, a participação em jogos e aplicativos da Internet não pode mais ser sujeita ao fornecimento de dados pessoais.

  1. Quais as situações em que o tratamento de dados pessoais é possível

Embora a lei pareça limitar as possibilidades de processamento de dados em grande medida, muitos processamentos de dados ainda podem ser realizados legalmente.

Nesse caso, a LGPD estipula que o agente de processamento pode processar os dados pessoais, principalmente com o consentimento do titular;

Mas a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, como nos seguintes casos:

  • Cumprimento das obrigações legais do responsável pelo tratamento;
  • Na administração pública, tratamento e uso compartilhado para a implementação de políticas públicas;
  • Pesquisas realizadas por instituições de pesquisa, mas devem ser anônimas;
  • Para proteger a vida ou segurança pessoal do titular ou de terceiros;
  • Para a proteção da saúde, mas deve ser realizado por profissionais da indústria;
  • Assinatura ou pré-assinatura de um contrato com o titular;
  • Reclamações em processos judiciais, administrativos ou arbitrais;
  • Desde que os legítimos interesses do responsável pelo tratamento não afetem os direitos e liberdades básicos;
  • Proteção de crédito.

Para dados pessoais confidenciais, a regra geral é proibir o processamento, a menos que o titular execute o processamento para uma finalidade específica com consentimento claro e proeminente; sem consentimento quando for algo de extrema necessidade:

  • O controlador cumpre obrigações legais;
  • O departamento da administração pública que implementa as políticas públicas;
  • As instituições de pesquisa conduzem pesquisas anonimamente;
  • Exercer regularmente direitos em processos contratuais, judiciais, administrativos ou arbitrais;
  • Proteger a vida ou a segurança pessoal do titular ou de terceiros;
  • Supervisão de saúde, mas apenas por profissionais da área; ou
  • Garantir a prevenção de fraudes e a segurança do titular.
  1. Como obter o consentimento da maneira correta?

O consentimento deve ser obtido para um fim específico, não pode ser um consentimento geral, mas pode ser executado por qualquer meio que comprove a execução da vontade do titular, desde que evidente a necessidade.

Além do mais, após manifestação expressa do titular, o consentimento pode ser revogado a qualquer momento por meio de procedimento livre e conveniente.

O controlador do processamento de dados também terá o ônus de provar que o consentimento foi obtido, portanto, a cadeia de custódia e a autorização devem ser mantidas com muito rigor.

No entanto, se o titular divulgar explicitamente os dados, ele dará o consentimento.

No contrato de encomenda, o tratamento de dados pessoais pode ser uma condição para o fornecimento de produtos ou serviços, mas a premissa é que o titular dos dados seja notificado sobre o assunto.

Por último, se for possível celebrar um contrato com ou sem dados pessoais, o titular deve ser informado das consequências da utilização não autorizada dos seus dados, como seja a restrição dos serviços prestados ou a exibição de anúncios.

  1. Como deve ser feita a transferência de dados para o exterior?

Os dados pessoais podem ser transferidos para o exterior e, de acordo com os regulamentos LGPD, a transferência é permitida nas seguintes circunstâncias:

  • os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira;
  • o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
  • quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução;
  • quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência;
  • quando for decorrente de acordo de cooperação internacional;
  • quando for necessária para execução de política pública ou atribuição legal do serviço público;
  • o titular tiver fornecido o seu consentimento específico e em destaque; ou
  • necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
  1. Quais são as penalidades em casos de descumprimento da LGPD?

Quem descumprir a lei estará sujeito a penalidades administrativas, que vão de advertências a 2% (dois por cento) do valor do faturamento da empresa, até 50 milhões de reais por cada infração, além da infração tornar-se pública e possível bloqueio ou eliminação de dados .

Embora a LGPD não defina o GDPR como duas faixas de multa, ele segue diretrizes semelhantes em termos de valor e vinculação com a receita da empresa infratora.

O responsável pelo tratamento que causou danos patrimoniais, espirituais, pessoais ou coletivos deve ser reparado e, quando diretamente envolvido no processamento, o ônus da prova continua invertido, o que beneficia o titular dos dados e ampara o operador.

Quando o operador não cumprir as obrigações das leis de proteção de dados ou não seguir as instruções legais do controlador, o operador será solidariamente responsável pelos danos causados ​​pelo processamento.

A fim de isentar a responsabilidade pelo processamento, a empresa deve provar que:

  • não processou os dados pessoais que lhes são atribuídos;
  • mesmo que tenha processado os regulamentos de proteção de dados, não violou os regulamentos;
  • o dano é devido totalmente aos dados do titular ou de terceiro.

Tal como acontece com a legislação anticorrupção, se uma empresa provar que implementou um plano de governança de privacidade de acordo com as boas práticas de segurança da informação e programas, políticas e procedimentos de treinamento confiáveis, pode mitigar as penalidades impostas à empresa para proteger os dados pessoais envolvendo todos os funcionários da empresa.

Por que a conformidade com a LGPD deve ser feita com o auxílio de uma ferramenta

O uso de uma ferramenta para o auxílio na conformidade com a LGPD vai além de um simples commodity, pois estamos falando aqui de uma lei que está sofrendo alterações a todo instante e exigirá ações rápidas por partes das organizações e um sistema de gerenciamento altamente eficaz para dar conta disso.

Especialmente para empresas que já existem há algum tempo, e que ao longo da existência tiveram uma relação irregular com o uso de dados, seja pela falta de cuidado ou pelo uso compulsivo sem autorizações específicas, entrar em conformidade com a LGPD será um grande desafio, ainda mais se não for possível contar com alguma tecnologia.

Pensando em todos os benefícios que uma Solução de Automação da Gestão de Privacidade como a OneTrust pode oferecer, preparamos um material para falar sobre 7 dos mais requisitados pelos usuários. Confira a seguir:

Módulos LGPD

O que é Mapeamento de Dados

O processo de mapeamento de dados, também conhecido como data mapping, é considerado uma das fases mais importantes para que ocorra a gerência de dados de maneira eficiente.

O documento de mapeamento de dados (ou planilha) deve refletir o caminho percorrido pelos dados pessoais internos da empresa, incluindo os processos e procedimentos pelos quais os dados são movimentados. Por outras palavras, qual é a sua fonte (como são captados?), A base jurídica para apoiar o tratamento destes dados pessoais, o nível de segurança da base de dados a que pertencem os dados e outras informações necessárias para analisar lacunas técnicas e jurídicas. .

Com a entrada em vigor das leis de proteção de dados (como o GDPR), o mapeamento de dados se tornou cada vez mais popular.

No Brasil, para atender aos requisitos de adequação da LGPD, é importante realizar o mapeamento dos dados, pois este documento nos dará uma visão geral de como a empresa lida com as questões de privacidade e segurança da informação.

Quais são os principais objetivos do mapeamento de dados?

Um dos principais objetivos do mapeamento de dados é diagnosticar como a empresa lida com a privacidade e a segurança das informações de seus clientes, funcionários e parceiros terceirizados para atender aos requisitos técnicos. O artigo 37 da LGPD estipula que os controladores e operadores devem registrar as operações de processamento de dados pessoais que realizam.

Neste caso, é válido lembrar que embora existam soluções, como a OneTrust que podem ser bastante úteis no processo, o mapeamento de dados é abrangente e requer análises humanas mais aprofundadas. Além disso, os dados físicos também precisam ser mapeados, um dos principais pontos não cobertos por essas ferramentas.

Como elaborar um mapeamento de dados?

Vários departamentos da empresa devem preparar o mapeamento de dados com assistência técnica e jurídica para analisar possíveis vulnerabilidades descobertas.

Estes são alguns dos pontos importantes que devem constar em um mapeamento de dados.

  • Tema

Do que se tratam os dados.

  • Item

O tipo de dado que está sendo mantido ou solicitado.

  • Tipo de Dados

Categoria de dados de transações neste fluxo (por exemplo, registro, transação, especial, sensível, manual, etc.)

  • Volume de Dados

A quantidade de dados e a frequência do tráfego neste fluxo (por exemplo diário, semanal, mensal, etc.)

  • Etapas do fluxo de dados

Descrição das etapas do processo: coleta, armazenamento, saneamento, concentração, processamento, segmentação, inferência, transferência e descarte.

  • Tecnologias

Aponte a principal tecnologia usada neste fluxo de dados. (Por exemplo: sistema, aplicativo, processo de suporte de banco de dados, etc.)

  • Locais de Armazenamento

Indica onde os dados são coletados, armazenados, processados ​​ou processados. Nesse momento, você deve indicar se é interno ou externo.

  • Origem dos Dados

Indique as principais fontes de dados (entrada) e canais de captura de dados (por exemplo, sites, aplicativos, entidades, SAC, parceiros, empresas relacionadas, etc.)

  • Campanhas de Marketing

Informe como lidar com dados pessoais em atividades de marketing. Especifique que tipo de dados pessoais são usados.

  • Compartilhamento de dados com parceiros

Indique os principais parceiros com os quais os dados são compartilhados – parceiros de negócios ou parceiros de tecnologia / dados (por exemplo, fornecedores, escritórios de contabilidade terceirizados, emissores de NFe, etc.)

  • Empresas coligadas

Indica as empresas afiliadas do grupo econômico cujos dados são compartilhados entre si.

  • Localidades do tratamento

Especifique o país, estado e região onde a empresa opera.

  • Transferência Internacional de dados

Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);

Data centers terceirizados;

Software terceirizados;

Transferência de dados pessoais para a sede da empresa no exterior.

  • Base legal

Indique a base legal para o processamento dos dados relativos ao processo.

  • Política de Privacidade

A política de privacidade do processo descrito foi atualizada e está em conformidade com os requisitos LGPD? Pode ser usada em todas as etapas da coleta de dados?

  • Dados de menores de idade

Determine se os dados pessoais de menores (18 anos) são coletados durante o processo de análise. Verifique se todos os registros têm uma data de nascimento válida e informada.

  • Retenção e extinção de dados

Determine estratégias de retenção e extinção (descarte) de dados. Caso contrário, avalie as boas práticas do setor empresarial por categoria de dados.

  • Segurança da Informação

Determinar as principais medidas de controle de segurança da informação estabelecidas para proteger os dados coletados, armazenados, processados, compartilhados e transmitidos.

  • Direito dos Titulares

O processo de avaliação permite que os proprietários de dados pessoais processados ​​exerçam seus direitos de acordo com as regras de proteção de dados.

Gerenciamento de Riscos

As empresas precisam entender melhor as principais tendências em gestão de riscos em projetos com armazenamento de dados e práticas de segurança para serviços legados e baseados em nuvem.

Atualmente, os dados são reconhecidos como um dos elementos mais importantes em uma organização, seja para melhorar a experiência do usuário, inovar, fornecer produtos customizados ou construir relacionamentos mais próximos com os clientes.

Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.

Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.

O que é o gerenciamento de riscos?

Segundo dados da pesquisa do " Global Cloud Data Security Study" de 2018, encomendado pelo Ponemon Institute (Gemalto) e publicado na revista Convergência Digital, a partir das conclusões de entrevistas com 3.200 profissionais de segurança de TI, as empresas brasileiras são as menos Uma das empresas prudentes compartilha dados confidenciais com terceiros.

Embora 77% das organizações em todo o mundo reconheçam a importância de melhorar a eficácia das medidas de segurança (como soluções de criptografia), a grande maioria (75%) acredita que é difícil cumprir os requisitos regulamentares relativos à privacidade e proteção de dados. Ambiente digital.

Quando se trata de dados, há dois significados para o item, incluindo dados pessoais ou dados confidenciais: privacidade e proteção. Em relação à privacidade, a LGPD estabeleceu uma série de requisitos para que as empresas possam obter, processar, armazenar e divulgar dados de forma a cumprir a legislação.

Em relação à proteção, ou seja, à segurança da informação, todo projeto envolvendo dados deve ter a preocupação de como proteger essas informações durante o armazenamento ou a transmissão.

Portanto, é necessário garantir que as informações sejam completas, ou seja, não tenham sido modificadas de nenhuma forma, sejam confidenciais e que somente o responsável pela visualização das informações possa acessá-las e utilizá-las quando apropriado.

Nesse caso, ainda é necessário contemplar a qualidade dos dados e garantir que apenas as informações relevantes sejam utilizadas no plano estratégico da operação.

A gestão de riscos do projeto inclui a análise do objetivo final de usar dados para evitar danos à reputação da empresa e à gestão financeira.

Deve ser baseado em uma estratégia de recuperação de desastres, mas deve ser exigido antes que algo aconteça. O plano está diretamente relacionado ao conhecimento, compreensão dos riscos e ameaças enfrentados pelo ambiente de TI, suas vulnerabilidades e o impacto na organização.

Quais riscos são relacionados com a armazenagem de dados?

O ambiente de TI enfrenta muitas ameaças internas ou externas, que podem afetar direta ou indiretamente a integridade e o armazenamento de dados. A perda pode ser:

  • Vazamento de informações e impacto social na reputação de indivíduos e empresas;
  • Perda de dados, devido à parada do processo ou até mesmo o término da operação.

Os dados armazenados em discos rígidos ou servidores antigos são muito vulneráveis ​​a ataques e podem ser afetados pelos seguintes fatores:

  • mau funcionamento de hardware;
  • espaço de armazenamento insuficiente faz com que os arquivos sejam sobrescritos;
  • falha de eletricidade;
  • roubo;
  • acidentes (incêndios, clima severo, desastres naturais – não podem ser evitados pela espontaneidade, mas afetarão gravemente a infraestrutura da empresa);
  • ataque de vírus ou malware;
  • exclusão acidental de arquivos, etc.

Portanto, as empresas precisam não só adotar um plano de recuperação de desastres, mas também adotar todo o escopo, visando ganhar a capacidade de assumir efetivamente os eventos e tomar medidas preventivas.

Por outro lado, a solução fornecida pela nuvem para os usuários prioriza a disponibilidade e integridade dos dados – no servidor nuvem, eles podem ser armazenados, visualizados, editados e recuperados quando necessário.

O que não significa que não estão imunes a outros riscos.

Por exemplo, os provedores de serviços de armazenamento em nuvem se recusam a assumir qualquer responsabilidade pelos dados que armazenam em seus data centers. Portanto, os usuários devem:

  • Mantenha uma cópia de segurança;
  • Informações criptografadas;
  • Se o serviço estiver temporariamente ou permanentemente indisponível, mantenha um estado de emergência.

Além das vulnerabilidades relacionadas a ataques de rede e ataques de hackers ou situações em que os usuários não podem acessar nenhum de seus serviços ou informações armazenadas, existe a possibilidade de alguns provedores terem de fechar seus negócios.

Como evitar riscos no gerenciamento de projetos

Os gerentes de TI precisam trabalhar muito para garantir que os dados permaneçam seguros e fáceis de recuperar em caso de falha. Para garantir a segurança da informação, é importante incluir rotinas diárias de backup nessa estratégia.

Essa é a premissa mais básica para minimizar os riscos de armazenamento local e é extremamente importante garantir que todos os funcionários cumpram rigorosamente esta política.

Empresas que optam por serviços em nuvem normalmente atuam em três frentes:

  • Criptografia de todos os dados armazenados;
  • Realizar réplicas dos buckups em outros servidores;
  • Compreender o SLA (Service Level Agreement) estabelecido com o provedor de serviços em nuvem.

Além disso, é necessário garantir que os funcionários não armazenem dados privados em serviços em nuvem, ou que muitos profissionais tenham acesso irrestrito às informações da empresa – por esse motivo, políticas rígidas de identidade e acesso devem ser implementadas.

Como gerenciar dados para garantir a sua melhor utilização?

Primeiramente, é necessário mapear os dados que fazem parte do projeto e classificar os dados por tipo e nível crítico, ou seja, pelo impacto que a perda de dados pode causar.

Também deve-se fazer a identificação de riscos, e existem duas camadas para isso:

  • security by design;
  • privacy by design.

As empresas que podem aplicar esses dois processos garantirão que os riscos foram identificados e resolvidos para evitar qualquer dano à sua segurança. Boas práticas de segurança também devem ser seguidas, tais como:

  • frameworks — COBIT, por exemplo;
  • normas de padrão internacional, como a Norma Internacional de Gestão de Segurança da Informação — ISO/IEC 27001;
  • políticas internas, com controles específicos dos sistemas e restrição de acesso;
  • treinamentos, que podem ser efetivados para que o manuseio do dado seja adequado.

Também é importante prestar atenção à conformidade com o LGPD do Brasil e o GDPR (Regulamentações gerais de proteção de dados) da UE para que o uso de dados esteja em conformidade com as leis daquele país.

Recomenda-se usar o gerenciamento de riscos para governança de dados corporativos na estrutura diária da empresa e usar as estratégias de tecnologia e arquitetura disponíveis para big data e análise.

Você também deve tomar decisões informadas com base nos dados coletados, porque se a empresa não sabe como usar as informações, não é suficiente obter muitas informações.

Consentimento de Cookies

Seu site usa cookies? São muito comuns na Internet, e esses pequenos arquivos são responsáveis ​​por armazenar os dados dos usuários que visitam suas páginas da web.

Eles personalizam a experiência do usuário e facilitam o transporte de informações entre páginas do seu domínio (como por exemplo: manter os produtos selecionados no carrinho em lojas online ou guardar preenchimentos de formulários).

Se o seu site usa esse tipo de ferramenta, lembre-se de que é necessário gerenciar os cookies de forma adequada para que sua empresa cumpra a Lei Geral de Proteção de Dados (LGPD).

A lei entrará em vigor em agosto de 2020 e empresas inadequadas podem enfrentar multa de até 2% do faturamento anual ou 50 milhões de reais.

A permissão de cookies é realmente necessária para a LGPD?

Os cookies permitem que o seu site acesse informações sobre o visitante, o que pode configurar uma violação da privacidade destes usuários.

Portanto, de acordo com a Lei Geral de Proteção de Dados, cada usuário deve conhecer os cookies utilizados pelo site e poder escolher se autoriza o seu uso ao entrar no site.

Com essa permissão, a comunicação entre a empresa e os usuários ficará mais clara, e os clientes saberão, por exemplo, por que veem os anúncios de seu negócio nas redes sociais após a visita ao site, afinal, tais anúncios exigem cookies.

O usuário também terá ciência de que o histórico e o comportamento de uso serão acessíveis para a empresa.

Antes de pensar em não usar esta ferramenta, por favor, entenda que os cookies são muito importantes para melhorar a experiência do visitante, o que pode economizar tempo.

Além disso, assim que tiver essas informações, você terá os dados necessários para o marketing digital, principalmente dados sobre visitas a sites.

Você será capaz de compreender o tempo gasto em cada página e dados importantes sobre a origem da visita.

Portanto, a melhor forma é aproveitar ao máximo os cookies com o consentimento do usuário e uma boa comunicação.

Faça seus visitantes compreenderem a importância dessas informações e ter a certeza de que elas são seguras para sua empresa.

Além disso, fornecer aos usuários uma forma de permitir apenas os cookies exigidos pelo site e também saber como excluir esses dados de navegação.

Gestão de Consentimento de Uso de Dados

O consentimento de dados foi um dos impactos mais notáveis das leis da proteção de dados, desde a aprovação da GDPR. Isso porque desde então, a internet como um todo passou a se preocupar e a solicitar o consentimento de uso de dados nos sites, incluindo aqueles que não faziam parte da união européia.

Mas especialistas afirmam que essa solicitação de consentimento inicial é feita da maneira errada, isso porque para evitar penalidades, o consentimento deve ser dado durante toda a vida daqueles dados na organização, especialmente no tratamento de dados.

Até porque muitas ações exigem consentimentos diferentes para serem executadas.

A Lei Geral de Proteção de Dados prevê uma série de requisitos que as empresas brasileiras devem cumprir, sendo que o principal é o consentimento para o processamento dos dados e estabelecendo a possibilidade de:

concessão,

permissão para armazenamento,

permissão para tratamento

Nessas duas leis, a coleta e o uso de dados pessoais devem seguir as regras de processamento. Portanto, a empresa necessita de uma base legal para esse processamento e, na maioria das vezes, a forma é através da obtenção do consentimento livre, específico, informado e explícito do usuário.

No caso de sites, por exemplo:

Considerando que alguns sites recebem milhões de visitantes todos os dias, a necessidade de gerenciar esse processo é fundamental, pois facilita o processo de obtenção de consentimento e garante o cumprimento das mais rígidas leis de proteção de dados LGPD e GDPR.

A empresa pode sentir a necessidade de implementar um departamento (ou mesmo um encarregado) para gerenciar o consentimento para processamento de dados. Além disso, uma série de atualizações deve ser feita na política de privacidade.

O que a LGPD diz sobre consentimento para tratamento de dados?

De acordo com a lei, os titulares dos dados devem expressar o seu consentimento para o tratamento dos dados com uma declaração espontânea, informada e clara – o titular dos dados concorda com o tratamento dos seus dados pessoais para um fim específico.

Nessa autorização, ele também o informou sobre os dados para tratamento autorizado.

Deve ficar claro para que a empresa usará os dados, ou seja, se o usuário fornecer dados pessoais para criar um cadastro em uma loja virtual e os dados forem reutilizados por outros departamentos (como marketing) para promover a oferta, essas reutilizações devem ser consentidas.

Além disso, a lei estabelece que se os usuários mudarem de ideia, eles podem solicitar a exclusão de seus dados a qualquer momento – essa pode ser uma das principais mudanças que acompanham a LGPD.

Dados anônimos não precisam de consentimento

Agora, um detalhe importante sobre esse processo é o fato de que dados que não servem para identificar pessoas (anonimizados) não necessitam de consentimento, pois não são mais respaldados pela LGPD, já que perdem tudo o que os configuraria como dado pessoal.

Um dado só é considerado anônimo quando não pode, em nenhuma circunstância, servir para identificar o titular ou passar por algum processo de reversão.

O que é uma Plataforma de Gestão de Consentimento?

Com todas essas novas responsabilidades em relação ao consentimento de dados, a ação manual do processo tornou-se obsoleta, sendo que isso gerou uma grande necessidade no mercado, o que gerou a oportunidade para a criação de diversas soluções e plataformas que propõem a gestão de consentimento de dados.

A plataforma de gestão de consentimento, também conhecida como CMP, é uma ferramenta para gerir o consentimento de milhões de usuários, assim garantindo que a empresa possa utilizar os dados para os seus fins (explícitos no consentimento).

O CMP pode usar as informações da política de uso de dados do site para criar uma janela pop-up personalizada para que os usuários concordem com o uso de cookies; fornecer uma interface para que os usuários escolham como usar seus dados e possam acessar as informações aprendidas no endereço; além de organizar o processo de forma otimizada para que a empresa cumpra suas obrigações com a LGPD.

É necessária a contratação de uma CMP?

Não, assim como a LGPD não está condicionada a uma plataforma, mas ao mesmo tempo é inimaginável para empresas que lidam com um grande volume de dados o gerenciamento humano, ao não ser que isso envolva um grande número de pessoas envolvidas no processo.

E é por isso que soluções como a OneTrust estão preparadas para atender essa demanda, pois é um dos recursos mais desejados e importantes para toda organização que quer estar em conformidade com a Lei Geral de Proteção de Dados.

Integrações

Em um mundo globalizado e especialmente em uma área concorrida com a área de tecnologia, as empresas são privilegiadas com uma série de alternativas quando o assunto envolve solução para problemas.

E para atender as demandas na velocidade e com a qualidade necessária, os gestores devem optar pelas melhores soluções para seu cenário, assim como avaliar uma série de fatores como o investimento necessário para obtenção de determinado software.

Isso resulta em um cenário vastamente comum: as empresas possuem soluções de diferentes fabricantes para atender suas diferentes soluções, pois aqui o que vale é a qualidade e a melhor oferta, tornando a praticidade da integração entre ferramentas de um mesmo fornecedor um ponto secundário neste cenário.

Mas embora isso represente números melhores para a empresa, também pode significar menos produtividade e mais estresse de operação quando uma empresa possui soluções que precisam funcionar de maneira integrada mas que simplesmente não combinam.

E essa necessidade multiplataforma é totalmente responsável por escolhas convenientes de um mesmo fornecedor por uma série de soluções relacionadas, sendo aqui menos sobre as vantagens macro da organização e mais sobre a redução de problemas, o dia a dia do uso de algumas ferramentas.

Porém essa falta de poder de escolha certamente não é uma característica desejada por nenhum gestor.

Com o crescimento de startups e até mesmo novas soluções de grandes corporações, o interesse geral passou a ser o benefício pioneiro de algumas dessas ferramentas, mas também os fabricantes já aprenderam a valorizar o poder de integração como um feature.

A demanda por profissionais capacitados para manipular essa associação entre recursos também cresceu. Sob o título de “Analista de Integrador de Sistemas”, o profissional é capaz de criar pontes para que as empresas recuperem esse poder de escolha e possam ter a interface dos sonhos ao aproveitar recursos de diferentes fabricantes.

O que é importante para uma integração de sistemas segura e funcional?

Para realizar a integração segura do sistema, alguns requisitos são necessários para ajudar a atender às necessidades da empresa.

Escalabilidade de memória

Conforme o número de transações aumenta, também aumenta a quantidade de dados.

Portanto, a melhor maneira de garantir um alto nível de desempenho e confiabilidade é usar uma arquitetura de computação in-memory (dados na memória do computador), que distribui o processamento por vários núcleos com memória dedicada e maior poder de processamento.

Dessa forma, se um núcleo falhar, o sistema integrado irá alternar automaticamente o processamento para o outro núcleo para evitar perda de dados. Conforme os requisitos de processamento aumentam, o sistema precisa de mais núcleos e escalas conforme necessário.

Monitoramento em tempo real e registro dados fixo

Devido à grande quantidade de informações que passam pelo sistema, as empresas precisam ser capazes de monitorar seus processos e transações em tempo real.

Aqueles que usam uma plataforma integrada e podem restaurar a capacidade de executar vários processos em paralelo e automaticamente terão menos problemas porque gargalos e erros podem ser eliminados eletronicamente.

No entanto, essas plataformas integradas também precisam ter um banco de dados operacional completo (ODS) que pode registrar dados e metadados para revisão futura por auditores e agências regulatórias.

Segurança na integração

Todos os cuidados devem ser tomados para manter a privacidade, confidencialidade e segurança das informações, pois as ameaças podem vir de todos os lados, incluindo concorrentes, funcionários decepcionados (atuais ou antigos), governos estrangeiros e hackers.

Portanto, os sistemas integrados devem estar em conformidade com as melhores práticas em relação à segurança e integridade dos dados. A função de segurança, a função de criptografia e o suporte ao protocolo TLS (Transport Layer Security Protocol) para atender aos padrões de autenticação e autoridade do usuário são requisitos essenciais.

Funcionalidades customizáveis

O sistema integrado precisa ter funções bem projetadas e personalizáveis, para que possa se conectar a vários sistemas, manipular várias nuvens e gerenciar dados de acordo com o fluxo de trabalho do usuário e as necessidades da empresa da organização.

Isso pode promover e acelerar a conclusão de projetos de integração, reduzir altos custos de mão de obra e profissionais e aumentar o retorno sobre o investimento da plataforma.

Por meio da integração de sistemas para conectar informações de forma mais rápida e eficaz, as empresas compartilharão mais facilmente as informações com funcionários, fornecedores, parceiros e clientes.

Além disso, terá mais capacidade para superar os desafios impostos pela legislação relativa a este segmento de mercado e aumentar a sua competitividade no mercado.

Direitos dos Titulares de Dados

Resolveremos as questões delicadas relacionadas ao uso de dados do usuário na nova legislação. Os direitos do usuário são protegidos por esta lei, e os pontos-chave relevantes que a empresa precisa se antecipar a fim de proteger os direitos dos usuários são apresentados, evitando assim possíveis dores e seus clientes avancem juntos.

Titular de dados

É a pessoa física, identificada ou identificável, a quem os dados se referem.E portanto, seja direta ou indiretamente, pode portar o certificado de identidade de seu titular.

Anonimização

Utilizar os meios técnicos razoáveis ​​e disponíveis no processo de tratamento para fazer com que os dados percam a possibilidade de se relacionarem direta ou indiretamente com o indivíduo.

Os titulares dos dados têm os direitos básicos de liberdade, intimidade e privacidade, mas lembre-se que o STF (Supremo Tribunal Federal) reconheceu recentemente o direito básico de proteção de dados pessoais.

Esses direitos foram estipulados em nossa Constituição Federal e até mesmo em outra legislação, como a Lei Civil, a Lei de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD). Essas leis reforçam esses direitos fundamentais e acervos de dados relativos às suas informações Alguém.

Um exemplo importante nos últimos meses é a regulamentação do Banco Central do Open Banking por meio da circular 4.015 / 20, que estipula o consentimento dos clientes envolvidos na utilização de seus dados.

Este é apenas um exemplo, ilustra o diálogo entre diferentes fontes dentro do mesmo ordenamento jurídico, na verdade, o titular dos dados é a pessoa autorizada quanto à utilização dos dados.

Voltando ao nosso tema principal, o titular dos dados tem o direito de acessar livremente as informações.

Esse acesso gratuito está relacionado ao princípio da qualidade (ou seja, a veracidade dos dados pessoais). Portanto, os titulares dos dados podem solicitar alterações, correções e atualizações em seus dados pessoais.

No que diz respeito ao consentimento, o consentimento do titular dos dados em relação aos seus dados deve ser claro, proeminente e baseado no objetivo declarado, nomeadamente uma simples “caixa de verificação” no ecrã, que utiliza os termos e condições da política de privacidade.

Não, para o titular dos dados, deve ser objetivo e exigir consentimento. É importante ressaltar que o titular deve ser informado da recusa de consentimento.

Se ele pode levantar uma objeção, se ele recusa certos consentimentos para certos fins, então os fatos de sua recusa em fornecer esse consentimento também devem ser esclarecidos.

A retirada do consentimento deve ser facultada da mesma forma que o consentimento, ou seja, cómodo e gratuito, para que o titular dos dados tenha as informações para seu uso imediatamente após o acesso.

A revogação entrará em vigor a partir do momento em que o utilizador elimine o seu consentimento, a menos que o titular dos dados solicite a eliminação das informações dos dados pessoais da base de dados.

Mas atente-se!

É importante falar sobre o vício. O vício por consentimento ocorre quando o titular dos dados é enganado, enganado, vitimado por fraude ou induzido em erro por publicidade.

Nessas situações específicas, as capacidades do titular dos dados foram comprometidas porque os cenários que ele enfrentou não correspondem aos fatos.

Nessas circunstâncias específicas, o controlador deve ter muito cuidado para fornecer e coletar o consentimento específico do titular para cada finalidade estabelecida, pois o ônus da prova cabe a ele.

Em outras palavras, você é obrigado a provar que não usa a autorização geral do titular para clicar no item e dar o consentimento sem realmente ler o conteúdo escrito, pois para todos os efeitos, a LGPD considera estas autorizações gerais vazias.

Um importante direito estabelecido no LGPD é estritamente respeitado por controladores e processadores, e sua finalidade é processar os dados pessoais coletados.

Seja no contrato, nos termos de uso ou na política de privacidade, o titular dos dados deve indicar claramente a finalidade da coleta de seus dados pessoais.

A portabilidade de dados é um direito que vem previsto pela LGPD a respeito do titular de dados que deseja migrar os seus dados pessoais.

Assim, quer esteja a deslocar-se por insatisfação com o serviço quer porque a nova empresa lhe proporcionará outras vantagens, goza da garantia desse direito.

A anonimização (uma tecnologia que separa os dados de um determinado titular dos dados) de que tratamos anteriormente também é direito do titular dos dados, assim como o titular dos dados tem o direito de solicitar o bloqueio ou mesmo a exclusão dos seus dados pessoais.

Em suma, o titular dos dados tem direito ao livre acesso, à portabilidade dos dados e à retirada do consentimento. O titular dos dados tem o direito de não dar o consentimento, caso não concorde, deve ser informado das consequências da sua recusa.

Respostas a Incidentes

A LGPD, Lei Geral de Proteção de Dados não traz uma definição específica do que seria um incidente de segurança, contudo, a GDPR, General Data Protection Regulation da União Europeia, a define como:

“Destruição (acidental ou não), transmissão, perda, alteração, divulgação ou acesso não autorizado a dados pessoais causado por qualquer outro tipo de processamento causado por violação dos regulamentos de segurança”.

Portanto, este é um evento que pode acontecer de várias maneiras. Além da óbvia violação de privacidade, existem possíveis consequências, que podem até ameaçar vidas, dependendo de quem tem acesso aos dados vazados ou de quem tem acesso As informações às quais eles têm acesso.

Por essas razões, LGPD e GDPR têm regulamentos específicos de prevenção e resposta quando tais incidentes ocorrem.

Como a LGPD nos ajuda na prevenção de incidentes de segurança

Segundo trecho do artigo 46, da LGPD:

“O agente de processamento deve tomar medidas de segurança, técnicas e de gestão para proteger os dados pessoais de acesso não autorizado e destruição acidental ou ilegal, perda, alteração, comunicação ou qualquer forma de tratamento impróprio ou ilegal.”

Embora a lei não defina claramente o que é um incidente de segurança, ela afirma claramente que os agentes de processamento (controladores e operadores) devem tomar medidas para proteger os dados pessoais que processam. Na verdade, de acordo com a única passagem do art. 44, se o controlador e / ou o operador não tomar as medidas de segurança previstas na técnica, eles podem ser responsabilizados pela perda causada pela violação da segurança dos dados, o que é previsto no art. 46.

De acordo com o art. 47, a obrigação de garantir a segurança das informações prestadas pelo agente de processamento também se estende a outras pessoas que intervêm em determinadas etapas do processamento de dados.

E o mesmo é reforçado no art. 49: “Os sistemas de processamento de dados pessoais devem ser construídos para atender aos requisitos de segurança, padrões de boas práticas e governança e princípios gerais estabelecidos nesta lei e outros padrões regulamentares”.

Esses outros padrões regulatórios podem ser aprimorados ao longo do tempo pela Autoridade Nacional de Proteção de Dados.

A ANPD poderá “analisar e assim definir os padrões mínimos de segurança para que todos os itens da LGPD sejam cumpridos”, então é esperado que sejam criadas normas mais específicas a longo prazo.

O art. 50 da LGPD incentiva os controladores e operadores a:

“formular os padrões de boas práticas e governança de dados para que seja possível manter um bom nível de organização, o modo de isso ser feito, todasas etapas; incluindo imprevistos como reclamações e pedidos de titulares, mudanças nas normas de segurança e todas as obrigações técnicas que podem chegar no decorrer da vigência da lei, sempre pensando no que é melhor para manter os dados pessoais seguros”.

Algo de extrema importância dentro das práticas de medidas preventivas, é a criação do DPIA (Data Protection Impact Assement na GDPR*), um relatório de impacto à proteção de dados pessoais.

Na LGPD, esse relatório representa um documento do controlador em que ele pode descrever todos os processos implementados no tratamento de dados, e porque eles são importantes para proteger os dados pessoais ou aos seus titulares de maneira direta ou indireta. Atualmente, esse documento só é mandatório quando solicitado.

O que fazer diante de um vazamento de dados

Se um incidente de segurança for identificado, as providências a serem tomadas são muito importantes para não agravar a situação.

O artigo 48 da LGPD diz que: “O responsável pelo tratamento deve comunicar à autoridade nacional competente e ao titular os incidentes de segurança que possa representar um risco ou dano significativo ao titular.”

De acordo com o mesmo artigo, a comunicação deve ser realizada “em prazo razoável, de acordo com o que for definido pela autoridade nacional” – o que no momento ainda não foi estipulado na lei brasileira.

Além disso, é necessário mencionar as seguintes informações sobre o que aconteceu:

  1. Descreva a natureza dos dados pessoais afetados;
  2. Informações sobre o titular;
  3. Apontar a tecnologia e as medidas de segurança utilizadas para proteger os dados e observar os segredos comerciais e industriais;
  4. Riscos relacionados ao incidente;
  5. Se a comunicação não for imediata, o motivo do atraso; e
  6. Medidas que foram ou serão tomadas para reverter ou mitigar o impacto das perdas.

Portanto, de acordo com o art. 48. A autoridade nacional competente irá verificar a gravidade do incidente e pode decidir tomar certas medidas, como: “Divulgar amplamente os fatos na mídia” e “tomar medidas para reverter ou mitigar o impacto do incidente”.

A Lei nº 8.078, de 11 de setembro de 1990 (“Código de Defesa do Consumidor”) determina que:

“Depois de entrar no mercado consumidor, os fornecedores de produtos e serviços que estão cientes dos perigos que existem, devem notificar imediatamente as autoridades competentes e os consumidores através de anúncios.”

Portanto, em caso de incidente de segurança, os consumidores devem ser informados que, dependendo da situação, a segurança dessas pessoas pode estar em perigo.

Conforme mencionado anteriormente, além de outros padrões, os sistemas usados ​​para processar dados pessoais devem atender aos requisitos de segurança, padrões de boas práticas e governança e aos princípios gerais especificados na LGPD.

Quando a autoridade nacional investiga a gravidade do incidente, ela considerará o nível de segurança fornecido para o processamento de dados para determinar se as penalidades serão impostas.

Após os procedimentos administrativos das autoridades nacionais, se o agente de tratamento determinar a responsabilidade, podem ser impostas sanções de acordo com o artigo 52. da LGPD.

Conforme já mencionamos, as sanções incluem advertências (indicando prazos para tomada de ações corretivas), multas diárias, multas únicas de até R$50 milhões, publicação de infrações e bloqueio de dados pessoais relacionados a crimes até que seja legalizado e os dados pessoais mencionados no crime sejam apagados.

Portanto, é possível perceber que este problema é muito grave, não só pelas possíveis consequências de um incidente de segurança, mas também pela possível aplicação de sanções.

A melhor maneira de evitar incidentes é notificar a si mesmo, lembrar as responsabilidades que você precisa assumir ao processar dados e colocar os requisitos mínimos de segurança da informação em prática:

  1. Demonstrar o compromisso do controlador em adotar processos e políticas internas para garantir a total conformidade com as regras e boas práticas relacionadas à proteção de dados pessoais;
  2. Não importa como você os coleta, a lei se aplica a todo o conjunto de dados pessoais sob seu controle;
  3. Adapte-se à estrutura, escala e quantidade de suas operações e à sensibilidade dos dados processados;
  4. Formular políticas adequadas e medidas de salvaguarda com base em uma avaliação sistemática dos impactos e riscos da privacidade;
  5. Visa estabelecer uma relação de confiança com o titular por meio de ações transparentes e garantir o mecanismo de participação do titular;
  6. Integrar-se à sua estrutura de governança geral e estabelecer e aplicar mecanismos de monitoramento interno e externo;
  7. Conte com a resposta a incidentes e planos de remediação; e
  8. Ele é atualizado continuamente com base nas informações obtidas no monitoramento contínuo e na avaliação regular.

Suporte Especializado

Com o avanço da tecnologia, é quase impossível encontrar uma empresa que não utilize soluções técnicas em seus processos.

Para que essas ferramentas funcionem bem e não se perca o investimento na área, é fundamental contar com um suporte de TI eficaz.

Ainda existem pessoas que pensam que investir em TI é caro e, portanto, apenas grandes organizações podem fazê-lo.

No entanto, um bom suporte depende mais de planos e estratégias do que de grandes investimentos.

Por que é importante ter um suporte de segurança da informação?

A equipe de suporte é responsável por garantir que as demais equipes da organização tenham sempre as ferramentas e os sistemas de TI em pleno funcionamento.

Deve também ajudar a estabelecer as melhores práticas para o uso dessas ferramentas e estabelecer processos eficazes e seguros.

Confira quatro das atribuições dessa área:

  1. Resolver problemas de infraestrutura – servidores, estações de trabalho, recuperação de dados, configuração de rede, planos de backup, etc.;
  2. Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
  3. Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
  4. Garantir a disponibilidade, estabilidade e atualização constante do ambiente de aplicação, software, hardware e equipamentos da região.

Dessa forma, o suporte de TI pode ajudar as organizações a continuar funcionando sem problemas e garantir que os funcionários possam executar as tarefas sem problemas.

Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.

Quais erros podem ser evitados?

Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.

Sem profissionais qualificados, a empresa terá que entrar em contato com um terceiro e aguardar a resolução da falha.

A equipe também garante que os funcionários não utilizem as licenças de forma errada, o que pode gerar problemas jurídicos para a organização, como o uso de softwares piratas.

Por fim, a equipe de suporte evitará a baixa produtividade dos profissionais por não conhecerem os sistemas e plataformas utilizadas no workflow. Isso ocorre porque eles fornecem treinamento e informações para educar os funcionários.

Quais as vantagens de terceirizar o suporte de segurança da informação?

Empresa pode focar na estratégia

Ao terceirizar o suporte de TI, a área técnica pode se concentrar em questões estratégicas de negócios, como o desenvolvimento de soluções internas. Não é mais necessário cuidar das atividades operacionais que os profissionais despendem.

Equipe em constante treinamento

Como dissemos, um bom suporte deve ter profissionais bem treinados. São essenciais para resolver os mais diversos problemas e dúvidas dos colaboradores de forma ágil e eficiente. Ao contratar uma empresa especializada em suporte, você deve garantir que essa seja a informação de todos os seus operadores.

Gestão de desempenho

As empresas de terceirização geralmente têm SLAs definidos que a empresa pode rastrear. Dessa forma, é fácil avaliar os dados de desempenho do suporte contratado.

Amplitude e atualização tecnológica

Outro benefício que essas empresas oferecem é o acesso a tendências e inovações tecnológicas que podem melhorar os processos de TI.

Menos custos

Com a terceirização ocorre a eliminação de várias despesas da organização, como com recrutamento e seleção, contratação, treinamento, taxas, licenças, férias, estações de trabalho e equipamentos. Essas despesas tornam-se despesas da empresa contratada.

Investimento fixo

Além de reduzir custos, o investimento em suporte também é previsível. Isso é importante para manter um bom controle das despesas organizacionais.

Segurança da Informação gera valor para o negócio

Por fim, a terceirização garante que a área será de qualidade e eficiente.

Portanto, ao invés de gastar mais dinheiro, deve passar a criar valor para a empresa e seus colaboradores, garantindo que eles tenham sempre as melhores ferramentas disponíveis para o seu trabalho.

Ter um bom suporte em segurança da informação é essencial para o sucesso de qualquer negócio. Por isso, é necessário entender a importância desse campo e encontrar formas de otimizá-lo.

Conte com a Compugraf na segurança e privacidade de sua empresa

O que falta para sua empresa estar segura, e em que momento de conformidade com a LGPD vocês se encontram? Seja qual for os seus principais desafios, a Compugraf possui uma equipe especialista no assunto para auxiliar a sua empresa nessa importante transformação de processos.

Conte com a gente!

LGPD
Read more
  • Published in Segurança da Informação
No Comments

Webinar LGPD na Prática

quarta-feira, 31 julho 2019 by admlan

No dia 24/07, realizamos o Webinar LGPD na Prática, no qual a DPO da Compugraf, Carla Manso e o Especialista de Produtos, José Aparecido, tiraram as principais dúvidas sobre a implementação, além de esclarecer como a tecnologia pode auxiliar sua empresa a ficar de acordo com a Lei.

Separamos algumas perguntas enviadas durante a inscrição para fazer um material completo para você. Confira:

O tempo está correndo e sua empresa precisa se adequar às normas da LGPD o quanto antes, evitando prejuízos financeiros e de imagem. Fale com os especialistas da Compugraf e conheça a melhor solução para que sua política de segurança de dados fique totalmente regularizada.

GDPRGDPR - Regulamento Geral de Proteção de DadosLGPDOneTrust
Read more
  • Published in Segurança da Informação
No Comments

7 dicas para adequar sua empresa à LGPD

sexta-feira, 14 junho 2019 by admlan

A LGPD vem sendo tema de grande discussão atualmente. Muito se fala sobre o que está envolvido, porém os assuntos são dispersos e o resultado desse conjunto de informações é que as pessoas acabam ficando confusas sobre o que realmente deve ser feito.

Se você tem dúvidas sobre esse tema, segue um conjunto de 7 dicas que vão te fazer enxergar uma luz no fim do túnel.

Entendendo um pouco a lei

Obviamente que o assunto é extenso e requer análise profunda, mas de  forma geral a lei prevê os itens a seguir:

  1. Toda empresa precisa ter uma base legal para manter dados pessoais e a lei prevê 10 bases legais possíveis;
  2. Os dados que sua empresa possui devem se resumir ao mínimo necessário para que estejam adequados às bases definidas;
  3. Sua empresa terá de disponibilizar meios de comunicação para que os titulares dos dados (as pessoas físicas) possam consultar seus dados. Em alguns casos (conforme a base legal), sua empresa terá de fornecer mecanismos para que o titular possa solicitar a revogação do uso dos dados, da portabilidade e até a sua exclusão;
  4. Devem ser definidas medidas de segurança para que os dados sejam protegidos contra o uso indevido;
  5. Sua empresa deve ser capaz de demonstrar que está atendendo aos princípios estabelecidos.

Acompanhe n​​​​o próximo tópico como adequar sua empresa à Lei Geral de Proteção de Dados e manter a privacidade de dados corporativos.

Trilhando a jornada

Dado esse conjunto de requisitos que a lei demanda, percebe-se que o processo de implementação permeia toda a empresa e provavelmente deve endereçar mudanças em vários aspectos: você terá de trilhar uma verdadeira jornada para se tornar e depois se manter aderente.   

Mas com tantas mudanças, por onde começar?

Aqui vão 7 dicas para você implementar a LGPD na sua empresa e ter bons resultados em pouco tempo.

Dica 1: Processo incremental

Você não tem experiência nisso, então não pense que sua primeira ideia será a melhor. Faça o trabalho de forma incremental e interativa, passando por todas as fases necessárias. Isso vai fazer você aprender com o processo, trazer resultados rápidos e indicar para a empresa que está no caminho certo.

Dica 2: Crie um inventário dos seus sistemas e processos

É preciso descobrir onde, de fato, estão os dados pessoais na sua empresa. Em geral estão espalhados em sistemas e documentos diversos – você vai ter muitas surpresas ao fazer isso, mas vai encontrar inúmeras oportunidades de “jogar lixo fora”, aproveite!

Dica 3: Monte um time

Para que você possa seguir com o trabalho de levantamento de dados, será muito importante contar com as pessoas que mais entendem do assunto e estas estão espalhadas pela sua empresa. Você terá de escolher as pessoas fundamentais (de cada processo/sistema) para que elas te ajudem a montar esse inventário.

Dica 4: Recorra a parceiros quando necessário

Se você não conta com especialistas em LGPD, então vale a pena abreviar sua jornada contando com ajuda de pessoas que fazem isso com maestria. Faça uma aliança com um parceiro que possa lhe ajudar nesse assunto, isso mantém o seu foco no que você mais conhece: o seu negócio.

Dica 5: Monte planos de ação

Com ajuda dos parceiros e do time, monte planos de implementação indicando o que será alterado, como, até quando e quem será o responsável. Ao final de cada plano, é preciso deixar claro qual item passará a estar em compliance com a lei.

ALERTA: se você está montando um plano e o resultado dele não ajuda no compliance, então é possível que o esforço seja para outro fim, que não a adequação à LGPD.

Dica 6: Monitore sua operação

Após a implementação dos planos, continue monitorando sua organização para garantir que o resultado possa ser mantido ao longo do tempo. No trabalho de monitoração, você vai gerar novas adequações.

Dica 7: Escolha uma ferramenta

Como gerenciar tudo isso ao mesmo tempo? Essa tarefa pode ser feita com várias ferramentas caseiras (que podem lhe gerar mais dor de cabeça!) ou você pode usar uma plataforma que foi feita exclusivamente para isso: a OneTrust!

Se você quer acertar de primeira, então experimente a ferramenta, faça um piloto e veja como um sistema de privacidade vai definitivamente ser peça central em todo o processo. Veja mais sobre a jornada de implementação e sobre o OneTrust no artigo “A Jornada LGPD”.

É possível implementar a LGPD e o caminho mais ou menos longo para isso está ligado a como sua empresa vai escolher trilhar essa jornada. Siga as 7 dicas para implementação e entre em contato com a Compugraf. Vai ser um grande prazer lhe ajudar nessa transformação.

LGPD é com a Compugraf
Tel: (11)
3323.3200
Email: lgpd@compugraf.com.br

Ameaça à segurançaataques cibernéticosataques cirbenéticoscompugrafLGPDOneTrust
Read more
  • Published in Segurança da Informação
No Comments

A Compugraf e a Privacidade de Dados

sexta-feira, 07 junho 2019 by admlan

A Compugraf é uma integradora com foco em segurança da informação no mercado há mais de 35 anos e uma das suas maiores preocupações é sempre estar a frente das novas tendências do mercado podendo ofertar aos seus clientes a mais alta tecnologia amparada pelos maiores e melhores fabricantes do mercado.

Com o avanço tecnológico dos últimos anos, o uso desenfreado das informações pessoais e os inúmeros eventos de vazamento de dados, fizeram com que a União Europeia criasse a GDPR – General Data Protection Regulation que está em vigor desde maio de 2018.

No cenário brasileiro ainda não havia sido criado uma norma especifica para proteção de dados. O titular dos dados podia se apoiar nas legislações já existentes, como Código de Defesa do Consumidor, Código Civil e Lei do Marco Civil da Internet.

Nesse sentido, em 2018 foi promulgada e sancionada no Brasil a versão tropicalizada da GDPR, a LGPD – Lei Geral de Proteção de Dados – que entrará em vigor em agosto de 2020.

Os três pilares da LGPD

A referida Lei Geral de Proteção de Dados (LGPD) é pautada basicamente em três pilares:

  1. Jurídico/Documentos
  2. Ferramentas
  3. Processos/Pessoas

Para que os clientes possam estar aderentes à LGPD, a Compugraf apresenta sua parceria com a empresa americana OneTrust: um produto (como o nome já diz), que vai proporcionar uma implementação segura e consistente.

A OneTrust é uma plataforma que visa proporcionar um SaaS de privacidade de dados. Por meio da utilização desta ferramenta será possível gerenciar todo o processo de adequação à lei, bem como monitorar continuamente a aderência aos requisitos.

O papel da Compugraf nesse contexto é agregar valor à plataforma, gerando conteúdo adequado ao Brasil e assessorando todo processo de implantação.

Como a lei não é uma simples questão de implantação de uma ferramenta, mas sim de grandes mudanças em seus processos, documentos, cultura e sistemas, as empresas terão de mudar sua forma de pensar, colocando a privacidade como um elemento a ser discutido desde a concepção de seus produtos e serviços. Ou seja, um novo tipo de comportamento terá de ser adotado para estar aderente à lei.

Portanto, estar em conformidade com a LGPD será um desafio no qual cada empresa deverá passar por um processo de reengenharia e para tal terá de reunir suas principais áreas (Jurídico, TI, RH, Marketing, Segurança da Informação, dentre outras), além de contar com parceiros e ferramentas que lhe apoiem devidamente nessa jornada.

A Compugraf apoia a Lei Geral de Proteção de Dados e entende que os dados pessoais são um ativo econômico valioso, por essa razão passou a representar a OneTrust no Brasil, oferecendo um pacote de produtos e serviços para que as empresas possam atender a LGPD.

Pensando em tudo isso é que a Compugraf traz ao mercado uma solução com conteúdo e assessoria adequados a cada cliente. Converse com nossos especialistas, eles ajudarão sua empresa a estar em total conformidade com a LGPD, garantindo a segurança da informação em seu ambiente.

LGPD é com a Compugraf
Tel: (11)
3323.3200
Email: lgpd@compugraf.com.br

compugrafGDPRLGPDOneTrustPrivacidade de DadosSaaS
Read more
  • Published in Segurança da Informação
No Comments

A Jornada LGPD

sexta-feira, 07 junho 2019 by admlan

A LGPD, Lei Geral de Proteção de Dados, entrará vigor em agosto de 2020.  Esta lei representa o mais significativo marco em termos de conquista de direitos de privacidade do cidadão brasileiro.

Fortemente baseada na legislação europeia, a GDPR em vigor desde maio de 2018, a LGPD representa uma quebra de paradigma em diversos aspectos, contemplando em seus capítulos e artigos desde a definição de forma inequívoca dos direitos da pessoa titular dos dados, do conceito de Privacy by design, das responsabilidades do controlador e operador dos dados até a criação da figura do encarregado pelos dados, sendo esta a pessoa (ou entidade jurídica) responsável por prestar contas junto aos órgãos de fiscalização.

A LGPD está baseada num tripé que se ampara em Jurídico/Documentos, Ferramentas e Processos/Pessoas.

A Jornada para implementação da LGPD

A implementação da LGPD nas organizações pressupõe uma campanha de adequações que contempla praticamente todos os aspectos corporativos, a saber:

  • Processos
  • Sistemas
  • Documentos
  • Cultura
  • Modelo de Negócios

Essa jornada requer um planejamento de forma a ser um processo racional e estruturado, otimizando o uso dos recursos humanos, materiais e sistêmicos da organização.

A definição dos Patrocinadores do projeto dentro da corporação e o estabelecimento de uma equipe multidisciplinar focada na implementação são condições essenciais e inaugurais para o sucesso desta jornada.

A Compugraf propõe uma jornada para aderência à lei baseada em um framework sustentado pela solução de Gerenciamento de Privacidade da OneTrust na qual consideramos 5 principais etapas: Avaliação, Desenho, Implementação, Operação e Monitoração.

Cada uma das etapas no framework contempla entregáveis bem definidos que, em linhas gerais, são explicadas a seguir.

1. Avaliação

O objetivo principal desta etapa é obter o “Gap” de ajustes, ou seja, o que precisa ser alterado, criado ou retirado dos processos/sistemas/documentos para estar em compliance com a lei.

As principais atividades dessa etapa são:

  • Pré-avaliação para definição do nível de maturidade em relação à norma
  • Treinamento dos multiplicadores dentro da organização
  • Definição dos itens de inventário de dados pessoais
    • Levantamento e detalhamento dos Ativos
    • Levantamento e detalhamento dos Processos de Negócios
    • Levantamento dos Sistemas e Terceiros
    • Levantamento dos riscos
    • Criação de Questionários e Avaliações
  • Análise de gap – Obtida com a conclusão do levantamento dos itens de inventário

2. Desenho

Essa fase tem por objetivo elaborar um plano (contendo: “o que”, “como”, “quem” e “quando”) para endereçar o GAP definido na etapa anterior. Neste plano, deve conter:

  • Mudanças necessárias em Processos
  • Mudanças necessárias em Sistemas
  • Adequações Legais e de Governança
  • Treinamentos requeridos

3. Implementação

Nessa etapa o objetivo é colocar o plano em prática. As principais atividades são:

  • Configuração de todo o inventário através do módulo de Registro de Tratamento de Dados (Data Mapping) com as informações coletadas na etapa de Desenho
  • Configuração do módulo de Direitos do Titular
  • Configuração dos módulos de Consentimento
  • Configuração do módulo de Resposta a Incidentes
  • Configuração do módulo de Gestão dos Riscos dos Fornecedores
  • Implementação das Integrações necessárias
  • Realização de treinamentos
  • Estabelecimento de políticas

4. Operação e Monitoração

A partir da etapa de operação, o incremento disponibilizado tem por objetivo trazer conformidade à lei, porém para manter aderência é preciso colocar em prática processos de monitoração constantes, a fim de obter evidências de que esses incrementos disponibilizados continuam em compliance com a lei.

5. Processo Iterativo

Ao invés de considerar um modelo Waterfall (Cascata), a Compugraf recomenda o modelo iterativo, permitindo que o resultado do trabalho possa ser percebido em pouco tempo por meio de entregas constantes e aprendizado (retroalimentação). A aderência à lei é obtida gradativamente.

Solução de Privacidade da OneTrust

A solução de Gerenciamento de Privacidade da OneTrust foi criada especificamente para atender normas de privacidade em todo o mundo. É uma plataforma na qual todas as fases da jornada à privacidade (desde avaliação até monitoração) são controladas e implementadas de forma consistente, gerenciando inclusive o acesso de parceiros que estejam apoiando o processo.

Esta solução chega com elevado grau de maturidade, uma vez que vem sendo utilizada por grandes empresas ao redor do mundo para implementação da GDPR na Europa, da CCPA na Califórnia e agora da LGPD no Brasil. É, portanto, considerada uma ferramenta referência no assunto.

Conforme o último relatório da Forrester, a solução OneTrust se destaca isoladamente como líder em Privacy Management Software.

Apresenta uma plataforma totalmente modular e configurável atendendo a todos os aspectos das legislações pertinentes. Os módulos são:

  • Automatização de Avaliações
  • Maturidade & Benchmarking
  • Registro do Tratamento dos Dados
  • Gestão de Consentimento de Cookies
  • Consentimento
  • Pedidos do Titular de Dados
  • Resposta ao Incidente
  • Gestão de Risco dos Fornecedores

Pelo exposto, depreende-se que a implementação irá permear praticamente todos os setores da organização, entretanto, com especial atenção àqueles que em algum aspecto tratam dados pessoais, tais como:

  • Tecnologia da Informação
    • Infraestrutura
    • Segurança
    • Governança
    • Privacidade
    • Sistemas Internos e Terceiros
  • Recursos Humanos
  • Marketing
  • Jurídico
  • Comercial e Vendas
  • Operações

Portanto como mostrado, a aderência à esta lei implica numa jornada que reúne aspectos processuais, ferramentais e adequado suporte jurídico. Enquanto de um lado há o risco inerente às penalidades devido a uma não conformidade, por outro lado, o aspecto positivo que toda corporação pode obter como produto dessa implementação é a fidelidade dos clientes, a transparência e governança associados à marca, melhores práticas de segurança e o uso mais efetivo dos dados permeando toda a corporação.

O tempo está correndo e sua empresa precisa se adequar às normas da LGPD o quanto antes, evitando prejuízos financeiros e de imagem. Fale com os especialistas da Compugraf e conheça a melhor solução para que sua política de segurança de dados fique totalmente regularizada.

LGPD é com a Compugraf
Tel: (11) 
3323.3200
Email: lgpd@compugraf.com.br

 

Ameaça à segurançaataques cibernéticoscompugrafForresterframeworkGapGDPRLGPDOneTrustPrivacy Management Software.Waterfall
Read more
  • Published in Segurança da Informação
No Comments

Principal plataforma de gestão de privacidade do mundo, disponível agora no Brasil para LGPD

terça-feira, 28 maio 2019 by admlan

A Compugraf firmou uma parceria técnica e comercial com a OneTrust, sediada em Atlanta e Londres, para comercializar e implantar a sua plataforma e prover suporte em português para todo o território nacional.

“O Brasil enfrenta um importante desafio para se adequar às exigências da nova Lei Geral de Proteção de Dados, que vigorará, a princípio, em agosto de 2020. A plataforma OneTrust assistirá as companhias e os profissionais de TI, Compliance e Jurídico, a obter e manter a conformidade com a LGPD”, comenta Jacques Nasser, CEO da Compugraf, ao explicar porque decidiu apostar nesta importante parceira comercial e tecnológica.

O OneTrust é a maior e mais utilizada plataforma de tecnologia no mundo para operacionalizar privacidade, segurança e gerenciamento de riscos de terceiros. Segundo The Forrester New Wave™: GDPR And Privacy Management Software, Q4 2018, o OneTrust “lidera a concorrência em matéria de visão e de execução”. Além disso, a Fast Company classificou a OneTrust como uma das empresas mais inovadoras do mundo de 2019.

O OneTrust assiste na implementação dos programas de privacidade, segurança e riscos de terceiros, incluindo a manutenção automática dos registros específicos necessários para demonstrar a conformidade com as regulamentações de privacidade da LGPD brasileira, da GDPR europeia, CCPA da Califórnia, e de mais de centenas de leis de privacidade do mundo. Com mais de 700 colaboradores a nível mundial e mais de 2.500 clientes em 100 países, a OneTrust é controlada pela Manhattan Associates e pela VMware.

No mercado de soluções tecnológicas desde 1982, a Compugraf é especializada em segurança digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

A Lei Geral de proteção de Dados já é uma realidade em nosso país e as empresas que não estiverem adequadas às suas normas poderão sofrer prejuízos – financeiros e de imagem.

Não espere nem mais um minuto para que a sua empresa esteja em total conformidade com a LGPD: fale agora mesmo com nossos especialistas e descubra como garantir a privacidade de dados de seu ambiente e a conformidade com a legislação vigente.

 

CCPACompliancegerenciamento de riscosJacques NasserLGPDManhattan Associatesnova Lei Geral de Proteção de DadosOneTrustplataforma de tecnologiaprogramas de privacidadesegurança da informaçãosegurança digitalVMware
Read more
  • Published in Segurança da Informação
No Comments

Por que os e-commerces terão que alterar suas políticas de privacidade no próximo ano?

segunda-feira, 17 dezembro 2018 by admlan
e-commerces terão que alterar suas políticas de privacidade no próximo ano

A Lei Geral de Proteção de Dados Pessoais (LPGD) foi publicada em agosto de 2018 e entrará em vigor após decorridos 18 (dezoito) meses da sua publicação. Por parecer um considerável intervalo para início efetivo dos efeitos da lei, que poderá incluir fiscalização e punição de infratores, o prazo de 18 (dezoito) meses, ao invés de motivar as empresas interessadas e envolvidas na proteção de dados a se alinharem às mudanças de rotina que a Lei irá exigir, trouxe um certo “conforto” à essas empresas, que estão deixando tudo para 2020, o ano em que a Lei estará em vigor.

Contudo, vale a pena o alerta: as empresas não devem cometer o erro de deixar tudo para a última hora! São muitas mudanças que afetam a rotina da empresa, sua cultura e comportamento, bem como ferramentas necessárias para se adequar à LGPD. As novas regras abrangem desde os dados mais sensíveis até os dados de uso diário como questionários, idade, dados cadastrais, tanto para coletar, transmitir ou processar esses dados.

Além disso, os titulares dos dados, protegidos pela Lei, com certeza não vão abrir mão de invocar seus direitos normatizados pela LGPD, tais como: pedir explicações sobre seus dados, solicitar, inclusive, alterações e correções em caso de divergência.

Além de todas as adequações que as empresas deverão buscar durante esse período, bem como ferramentas necessárias para regular proteção dos dados, será necessário informar ao cliente o motivo pelo qual os seus dados serão tratados, não somente fazendo uso do que chamamos de opt-in no e-commerce, ou seja, não será suficiente colher apenas o “OK” do cliente para o efetivo consentimento. Os e-commerces deverão, de maneira clara e detalhada, esclarecer o motivo pelo tratamento dos dados.

E onde os e-commerces poderão detalhar isso, fazendo com que o cliente não apenas dê o consentimento, mas leia e tenha ciência sobre o tratamento de seus dados? Na “Política de Privacidade” ou, como em outros sites, “Termos de Condições de Segurança”.

Além do consentimento mencionado acima, não custa lembrar que muitos lojistas já tratam dados pessoais antes mesmo do cliente ler ou aceitar a Política de Privacidade do site, por meio de cookies ou outras ferramentas tecnológicas, na mera navegação.

A Política de Privacidade da loja é o meio ideal usado para tornar transparente sua relação com o usuário. Lá você informa todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais. Atualmente, os e-commerces pedem ao usuário, após preenchimento do seu cadastro, que demonstre expresso consentimento e concordância com esses termos. Isso tudo surgiu, de forma mais expressiva, após a regulação específica do mundo virtual, através do Marco Civil da Internet. Essa lei estabeleceu direitos e garantias aos usuários, além de regulamentar as responsabilidades aos setores públicos e privados.

Contudo, a mera alteração das Políticas de Privacidade não é o suficiente para garantir sua eficácia e adequação à LGPD. É importante se atentar para os aspectos práticos, pois, caso não implementado de forma correta, pode invalidar a sua Política de Privacidade. Sendo assim, destacamos alguns pontos importantes para uma Política de Privacidade adequada:

Consentimento

A Política de Privacidade do e-commerce nada mais é do que os termos de um negócio jurídico estabelecido entre o próprio comerciante com seus usuários. Para que tenha validade e eficácia, deve ser levada ao conhecimento do usuário que, por sua vez, deve manifestar sua aceitação. É nessa linha que se aperfeiçoa o vínculo contratual.

Consentimento Válido

A LGPD apresenta definição em seu artigo 5º, XII: “Para os fins dessa lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Essas são as características definidas pela LGPD para consentimento do usuário, que deve ser livre, ou seja, confere ao usuário pleno controle sobre o tratamento de seus dados pessoais. Deve, ainda, poder escolher quais dados fornecer ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. O lojista não pode compelir o usuário a consentir com tratamento de seus dados pessoais para ter acesso a determinada aplicação na internet. Dessa forma, esse consentimento não é considerado livre e pode ser invalidado por ineficácia da aceitação.

Vale incluir uma exceção ao esclarecimento acima, uma vez que existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação na internet, sendo justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.

Informações Necessárias

O usuário deve ter informações suficientes sobre o e-commerce e os serviços prestados, bem como sobre o tratamento de seus dados. Isso porque ele deve ter ciência do que está sendo contratado e consentir de forma consciente. Assim, o usuário deve saber a identidade do e-commerce, os responsáveis pelo tratamento de seus dados e as finalidades de destino desse tratamento. É fundamental que os e-commerces sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre seu modelo de negócio e a finalidade da coleta de dados. Tal finalidade, pela LGPD, deve ser específica e informada na Política de Privacidade, sendo proibido o uso de dados para fins não previstos, sem o consentimento do usuário.

Aceitação do Usuário

Deve haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. O silêncio nunca poderá ser considerado consentimento. Atualmente, muitos e-commerces incluem links para suas Políticas de Privacidade no rodapé do site, não exigindo aceitação do usuário. Além disso, possuem cláusulas de que o mero acesso já é aceitação pelo usuário de tais Políticas. Isso não será mais permitido pela LGPD.

O usuário, de alguma forma, deverá aceitar e consentir de forma expressa com a Política de Privacidade do e-commerce. Não somente isso, em qualquer alteração ou atualização quanto ao modelo de negócio do e-commerce ou ao tratamento de dados dos usuários, o consentimento deve ser renovado, uma vez que o consentimento originalmente fornecido, não será mais válido.

Conclui-se que o ano de 2019 será de muito trabalho para os e-commerces. Desse período até fevereiro de 2020, será o intervalo que permitirá adequação dos e-commerces para receber a LGPD e sua futura Autoridade de Proteção de Dados. Além das muitas mudanças necessárias, podemos observar que nada é tão simples quanto parece. O que as empresas pensam ser apenas mais uma alteração na redação de suas Políticas de Privacidade é o que dá validade ao negócio jurídico do comerciante com o usuário e, se não implementado corretamente, pode tornar qualquer Política inválida, deixando o lojista desprotegido em caso de eventual disputa.

Essa questão é uma dentre muitas questões fundamentais para proteção do e-commerce às altas multas cominadas pela LGPD. Esperar até o Carnaval de 2020 para tomar providências de adequação pode fazer com que o comerciante não tenha tempo hábil não somente para modificar a Política de Privacidade do seu site, mas também de mudar a cultura das áreas de sua empresa, que deverão também obedecer o que será determinado na nova política, após sua remodelagem.


Este artigo foi escrito por:

Ricardo Oliveira
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo.  Atua há quase 10 anos na área jurídica, focando na multidisciplinaridade e interação dos mais diferentes ramos do Direito, sempre com foco em empresas do comércio eletrônico e tecnologia da informação.

Amanda Almeida
Advogada associada do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Possui experiência em contencioso de massa, gestão e controle de contratos, atuando principalmente com empresas do seguimento ecommerce

ataques cirbenéticoscompugrafdadose-commercesLei Geral de Proteção de Dados PessoaisLGPDproteção de dadossegurança da informaçãovazamento de dados
Read more
  • Published in Segurança da Informação
No Comments

Procurar Fóruns

Somos especialistas em segurança
digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

Endereço
Av. Angélica, 2346, São Paulo SP
Telefone
(11) 3323-3323
Central de Suporte
(11) 3323-3322 | 3003-4747
Onde nos encontrar
  • Home
  • A Compugraf
  • Parceiros
  • Blog
  • Contato
  • Contato DPO
  • Código de Conduta e Ética

2018 todos os direitos reservados - ® - Compugraf | Desenvolvido por Compugraf

TOP