Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.
Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.
Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.
Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.
Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.
Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.
Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.
Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.
Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.
*André Cilurzo é diretor de privacidade de dados e atendimento à LGPD na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Assunto ainda relativamente recente no Brasil, a Privacidade de Dados é tópico de interesse para toda a sociedade. Nesse sentido, promover discussões e trocas de ideia entre o setor é indispensável para encontrar os melhores caminhos e práticas para garantir a proteção dos dados no Brasil. Para incentivar esse diálogo e trazer luz aos principais tópicos relacionados à privacidade de dados no Brasil, convidamos Waldemar Gonçalves, Diretor-Presidente da ANPD (Autoridade Nacional de Proteção de Dados) para uma entrevista exclusiva.
Nessa entrevista, abordamos tópicos que ainda geram dúvidas no mercado sobre o cumprimento das normas e o setor como um todo, além de buscar compreender os próximos passos da proteção e privacidade de dados no Brasil. Confira a seguir a íntegra.
[Protiviti] Em casos práticos, vemos profissionais dedicados à privacidade de dados no Brasil, à segurança da informação ou ao jurídico acumularem também a função de Encarregado. A ANPD entende que pode haver conflito de interesses a depender do cargo do Encarregado de Dados?
[ANPD – Waldemar Gonçalves] A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação, conforme previsto na Agenda Regulatória para o biênio 2023-2024.
Importante salientar que o agente de tratamento, ao indicar o encarregado, deve atentar para que este não esteja ocupando ou não passe a ocupar posição que acarrete conflito de interesses. Presume-se o conflito de interesses no acúmulo da função de encarregado com aquela em que haja responsabilidade pelas decisões referentes ao tratamento de dados pessoais.
O essencial é que o encarregado seja a pessoa responsável por ser o canal de comunicação entre a instituição/empresa na qual atua, os indivíduos e a Autoridade Nacional de Proteção de Dados. Além de ser responsável por conscientizar e orientar o controlador de dados pessoais e os funcionários sobre as boas práticas em proteção de dados pessoais.
O encarregado deve ser a figura que busca garantir uma comunicação adequada, para o atendimento aos direitos dos titulares, e que oriente sobre as práticas de governança de dados pessoais.
[Protiviti] Em paralelo com as regulamentações de privacidade de outros países, a Autoridade tem expectativas para uma atualização na LGPD incluindo a necessidade de o Controlador emitir declaração para comprovar que um direito requerido pelo titular foi atendido? Como, por exemplo, em casos de anonimização, bloqueio ou eliminação de dados?
[ANPD – Waldemar Gonçalves] A LGPD só pode ser modificada ou atualizada pelo legislador, cabendo à Autoridade Nacional de Proteção de Dados apenas a regulamentação dos ditames da lei. Nesse sentido, a ANPD acompanha a atividade parlamentar junto ao Congresso Nacional e procura apoiar decisões dentro dos limites da sua responsabilidade e competência.
A respeito da anonimização e pseudonimização, a Agenda Regulatória 2023-2024 prevê a elaboração de documento que visa orientar e esclarecer o uso dessas técnicas. Essa ação já foi iniciada e será concluída até 2024.
[Protiviti] A Coordenação-Geral de Fiscalização é responsável por analisar as petições dos titulares que possam conter denúncias de descumprimento da LGPD. Tendo em vista a possibilidade de receber diversas petições, a Coordenação prevê estabelecer critérios de priorização para iniciar uma investigação sobre um incidente envolvendo dados pessoais ou demais violações à lei?
[ANPD – Waldemar Gonçalves] Todo processo fiscalizatório realizado pela ANPD é precedido por um monitoramento preliminar. A partir das informações levantadas no monitoramento, a Autoridade decide se estabelece ou não um processo de fiscalização propriamente dito. Ou seja: a fiscalização acontece quando há subsídios para tal e a norma de fiscalização atualmenteestabelece critérios de priorização para a avaliação do tratamento de dados pessoaispelos agentes de tratamento. Além disso, a Agenda Regulatória 2023-2024 também prevê a normatização de critérios para a comunicação de incidentes de segurança envolvendo dados pessoais e o processo de fiscalização desses incidentes.
Recentemente, a ANPD encerrou Consulta Pública sobre a proposta de Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais, que contou com 1.491 contribuições da sociedade.
Isso nos revela que os cidadãos estão preocupados com o tema e estão contribuindo com a ANPD para a elaboração de uma norma justa e democrática.
[Protiviti] No ano de 2021, a ANPD e a SENACON estabeleceram um Acordo de Cooperação Técnica com o objetivo de proteger os dados pessoais dos consumidores. Com base nisso, há planos para ampliar esses acordos de parceria, a fim de alcançar um entendimento padronizado sobre questões relacionadas à privacidade e proteção de dados pessoais em demais setores, como também evitar a duplicidade de esforços em termos de fiscalização?
[ANPD – Waldemar Gonçalves] Sim, queremos ampliar nossos acordos de cooperação. A Autoridade está em constante diálogo com outras instituições para aprimorar as suas próprias práticas e para melhor resguardar os direitos dos titulares de dados pessoais. Neste sentido, a ANPD possui sete Acordos de Cooperação Técnica e Convênios já estabelecidos e outros em fase de elaboração. A Autoridade se articula com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação, conforme previsto na LGPD.
[Protiviti] Segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), mais de 15% da população brasileira não utilizou a internet em 2021, meio imprescindível para inclusão social e conscientização da população. Os principais motivos apontados foram de ordem técnica (não saber usar a internet) ou econômica (serviço de acesso ou equipamentos eletrônicos considerados caros). Considerando que as vulnerabilidades sociais se somam ou são potencializadas pelas vulnerabilidades digitais, como a ANPD tem enfrentado o desafio de disseminar ações educativas a grupos mais vulneráveis quanto a temas como proteção de dados pessoais?
[ANPD – Waldemar Gonçalves] Esse é um dos maiores desafios que temos, além de o tema “Proteção de Dados Pessoais e Privacidade” ser algo novo, também necessita de amadurecimento e fomento para a formação de uma cultura de proteção de dados pessoais em nosso País.
Por isso, a ANPD atua fortemente na produção de Guias Orientativos para elucidar sobre os diversos assuntos que permeiam a proteção de dados pessoais. E com isso, estamos dispostos a encarar esses desafios e criar meios de consolidar essa cultura de proteção de dados pessoais no Brasil.
[Protiviti] O uso de inteligência artificial cada vez mais disseminado entre crianças e adolescentes como, por exemplo, assistentes virtuais, tem se demonstrado um grande desafio frente a vulnerabilidade inerente a esse público. Há expectativa da ANPD de uma atuação preventiva para proteção de dados pessoais de crianças e adolescentes no uso desse tipo de tecnologia?
[ANPD – Waldemar Gonçalves] A ANPD atua de forma responsiva, que engloba a prevenção, o monitoramento, a orientação e a sanção por descumprimento da LGPD.
Para todos os casos atuamos desta forma e já estamos avançando mais na fiscalização desde que o Regulamento de Dosimetria e Sanções Administrativas foi publicado.
Estamos atuando de forma preventiva em diversas áreas que envolvem a proteção de dados pessoais, independente da tecnologia utilizada, incluindo a proteção de dados pessoais de crianças e adolescentes, cabendo destacar que a Agenda Regulatória da ANPD também prevê a regulamentação deste tema.
[Protiviti] Quais são as expectativas da ANPD quanto ao uso do legítimo interesse como base legal para o tratamento de dados pessoais de crianças e adolescentes, e como a Autoridade planeja equilibrar os interesses das organizações e os direitos de privacidade dos menores nesse contexto?
[ANPD – Waldemar Gonçalves] A ANPD publicou em maio deste ano, o primeiro Enunciado que trata sobre as hipóteses legais que autorizam o tratamento de dados de crianças e adolescentes.
Este Enunciado representa uma primeira iniciativa da ANPD relacionada à proteção de dados pessoais de crianças e de adolescentes e fixa entendimento da Autoridade acerca das possibilidades interpretativas do artigo 14 da LGPD.
De acordo com o Enunciado, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, como nos casos de consentimento fornecido pelo titular, de cumprimento de obrigação legal, de proteção à vida ou de atendimento a interesse legítimo do controlador. Em qualquer situação, o melhor interesse da criança e do adolescente deve prevalecer, exigindo avaliação cautelosa por parte do controlador.
Também, com relação ao tema, estamos trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, documento que trará orientações específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, em conformidade com o princípio do melhor interesse.
[Protiviti] Como a ANPD espera superar o desafio de regular a transferência internacional de dados segura, sem impactar o desenvolvimento econômico e a inserção de empresas brasileiras no mercado global?
[ANPD – Waldemar Gonçalves] A regulamentação da proteção de dados de uma maneira geral impacta positivamente na inserção das empresas brasileiras no cenário global, aumentando sua competitividade. O estabelecimento de regras claras para proteção de dados pessoais aumenta a segurança jurídica, que, por sua vez, é requisito para o crescimento econômico do País.
A regulamentação das transferências internacionais é apenas uma das muitas dimensões da regulamentação da proteção de dados. Nesse aspecto, a ANPD tem procurado delinear regras mais convergentes possíveis com o que é feito no cenário internacional, de forma a garantir que as regras brasileiras sejam interoperáveis com os diversos sistemas de proteção de dados no mundo.
Além disso, está aberta para contribuições da sociedade consulta pública, que tem o intuito de receber subsídios da sociedade que são essenciais para o aprimoramento do Regulamento, a partir de contribuições valiosas por parte de variados segmentos da sociedade.
[Protiviti] Há previsão para acordos de cooperação entre países, em caso de necessidade de troca de informações entre autoridades, em situações, por exemplo, de incidentes envolvendo dados pessoais?
[ANPD – Waldemar Gonçalves] Sim. A ANPD está trabalhando para estabelecer uma rede de cooperação que possa viabilizar o enforcement extraterritorial da LGPD. A troca de informações entre autoridades é peça essencial nesse esforço. A Autoridade vem atuando junto a autoridades de outros países para o estabelecimento de alianças e troca de informações a respeito das transferências internacionais de dados pessoais.
Atualmente, temos um memorando de entendimentos com a Agência Espanhola de Proteção de Dados (AEPD) com intuito de garantir a colaboração entre os países e uma cooperação conjunta em matéria de proteção de dados pessoais e fornecer um quadro para a troca de conhecimentos técnicos e melhores práticas, a fim de fortalecer as capacidades técnicas de ambas as partes relacionadas à aplicação da lei sobre a proteção de dados pessoais.
[Protiviti] Qual é a responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em caso de violação de dados pessoais? Haverá algum tipo de direito de regresso contra o Encarregado, em caso de responsabilização do controlador ou do operador?
[ANPD – Waldemar Gonçalves] A Lei Geral de Proteção de Dados Pessoais trata exclusivamente sobre o papel do Encarregado e todas as suas atividades estão elencadas em seu art. 41. A Lei não prevê responsabilidade direta do encarregado. A responsabilidade, em regra, é dos agentes de tratamento, isto é, o controlador ou o operador, conforme o caso. O Encarregado poderá responder por atos ilícitos conforme as normas aplicáveis a funcionários de empresas, por exemplo.
Com relação ao direito de regresso, a LGPD também não estabelece regramento específico sobre eventual direito de regresso contra o Encarregado, nos casos de responsabilização do controlador ou operador. Assim, aplicam-se as normas usuais nestes casos, como as que regem as relações entre funcionários e empresas.
O tema está previsto para ser regulamentado na Agenda Regulatória 2023-2024. Após a publicação do regulamento será possível responder questões mais específicas sobre a atuação do encarregado de dados pessoais.
por Matheus Jacyntho e Rodrigo de Castro Schiavinato*
A proteção da privacidade dos dados pessoais tornou-se uma preocupação fundamental em um cenário cada vez mais digital e interconectado. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes rigorosas para o tratamento adequado e seguro dos dados pessoais no Brasil. Nesse contexto, a cibersegurança desempenha um papel essencial na proteção da privacidade dos dados, uma vez que visa mitigar riscos e evitar violações de segurança que possam comprometer os dados das pessoas.
A implementação de medidas de segurança adequadas, juntamente com soluções especializadas, é crucial para assegurar o atendimento aos princípios da Segurança e prevenção definido no artigo 6º da lei, bem como preservar a confiança dos usuários na era digital e a imagem da organização.
A LGPD não especifica medidas que tratem da segurança de informação, mas exige que as empresas adotem normas técnicas e organizacionais adequadas para proteger os dados pessoais que estão em seu poder e serão tratados. Isso significa que as companhias são responsáveis por implementar medidas de segurança proporcionais aos riscos envolvidos no tratamento dos dados pessoais.
Algumas soluções ajudam a garantir a segurança no tratamento de dados pessoais, tais como:
Controle de acesso: ao implementar mecanismos que restrinjam o acesso apenas a pessoas autorizadas, é possível garantir que apenas aqueles que necessitam dos dados pessoais tenham permissão para acessá-los. Um desses mecanismos é o MFA (Múltiplo Fator de Autenticação), adotado por meio de soluções, como, por exemplo, o Microsoft Authenticator ou o Google Authenticator. Mesmo em casos de perda de uma senha, o atacante não consegue confirmar o código que estará de posse do colaborador.
Criptografia: o uso de técnicas de criptografia para proteger os dados pessoais durante a transmissão e armazenamento tornando-os ilegíveis para pessoas não autorizadas.
Monitoramento e detecção de intrusões: permite estabelecer sistemas de monitoramento contínuo para identificar atividades suspeitas, intrusões ou tentativas de acesso não autorizado aos dados pessoais.
Gestão de vulnerabilidades: realiza avaliações regulares de segurança para identificar e corrigir vulnerabilidades nos sistemas e nos aplicativos que possam expor os dados pessoais a riscos.
Políticas de senhas: a orientação é implementar políticas de senhas fortes, que exijam combinações de caracteres complexas, além de sugerir a troca periódica das senhas.
Treinamento e conscientização: a capacitação dos funcionários permite a compreensão das práticas adequadas de segurança da informação para que os mesmos estejam cientes de suas responsabilidades na proteção dos dados pessoais.
Backup e recuperação de dados: além de realizar cópias de segurança periódicas dos dados pessoais, é preciso ter um plano de recuperação de dados em caso de perda ou incidente.
Política de retenção de dados: é preciso estabelecer uma política clara de retenção de dados, garantindo que os dados pessoais sejam mantidos apenas pelo tempo necessário e sejam adequadamente descartados após o período determinado.
Deleção de dados: a implementação de soluções para eliminação de dados é necessária sempre que o processo de tratamento for finalizado ou seu prazo de retenção expirar. Tal ação, além de ser um requerimento legal exigido pela LGPD, também reduz a exposição ao risco de vazamento de dados que não tem mais finalidade dentro da empresa.
As medidas de segurança de informação mencionadas podem ser complementadas por várias outras soluções de cibersegurança para fortalecer a postura de segurança de uma organização, além de auxiliar na conformidade com as exigências da LGPD.
*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e estabelece regras claras para o uso, proteção e privacidade de dados pessoais. A LGPD é aplicável a todas as empresas e organizações que coletam, processam ou armazenam dados pessoais no Brasil, independentemente de sua nacionalidade ou porte.
Um dos principais objetivos da LGPD é proteger a privacidade e a segurança dos dados pessoais dos indivíduos. Para isso, a lei estabelece que as empresas implementem medidas de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, vazamento, perda ou destruição, sendo a anonimização de dados, que impossibilita a associação, direta ou indireta, a um indivíduo, um dos mecanismos mencionados pela regulamentação.
Além disso, a lei exige que as empresas informem aos titulares de dados suas técnicas de anonimização utilizadas e os resultados obtidos a partir do tratamento dos dados.
Principais técnicas de anonimização de dados
Existem diversas técnicas de anonimização de dados que podem ser utilizadas para proteger a privacidade dos titulares de dados pessoais. Entre as técnicas mais utilizadas, estão o mascaramento, a criptografia e a tokenização.
No mascaramento, os dados pessoais são substituídos por dados fictícios, que ainda assim preservam características gerais dos dados originais, como a forma ou o tamanho. Por exemplo, pode-se trocar os dois últimos dígitos de um número de identificação pelo número 00, ou adicionar um valor aleatório a um dado numérico. Essa técnica visa preservar o padrão geral dos dados, enquanto reduz a possibilidade de identificação do titular do dado.
Já na criptografia, os dados pessoais são transformados em um código indecifrável. Essa técnica é amplamente utilizada para proteger dados em trânsito ou armazenados, assegurando a confidencialidade dos dados. Esta técnica também pode ser utilizada em conjunto com outras técnicas para garantir a proteção dos dados pessoais.
Na tokenização, os dados pessoais são substituídos por um token que não pode ser revertido para os dados originais sem uma chave de descriptografia. Dessa forma, a informação original é substituída por uma sequência de caracteres, que pode ser aleatória ou gerada por meio de um algoritmo criptográfico, e que não permite a identificação do titular dos dados. Esta técnica é a mais eficaz na proteção de dados e prevenção a tratamento indevidos de informações pessoais.
Simplificando a tokenização de dados
Para entender melhor como funciona a tokenização de dados, podemos fazer uma analogia com um cofre. Imagine que você tem um objeto de valor que deseja proteger, como um cartão de crédito, por exemplo. Para isso, você coloca esse cartão de crédito em um cofre e o tranca com uma chave. Dessa forma, apenas você, que possui a chave, pode acessar o cartão.
Agora, imagine que, em vez de guardar o cartão diretamente no cofre, você o coloca em uma caixa e guarda essa caixa no cofre. Em seguida, você tranca a caixa com uma chave diferente da chave do cofre e, em vez de guardar essa chave no cofre, você a guarda em outro local seguro. Quando você precisa acessar o cartão, você abre o cofre, pega a caixa, abre a caixa com a chave que está em outro local seguro e, finalmente, tem acesso ao cartão.
Essa é basicamente a ideia por trás da tokenização de dados. Os dados pessoais são colocados em uma “caixa” (o token) que é guardada em um ambiente seguro (o sistema de tokenização). Quando esses dados precisam ser utilizados para realizar operações ou transações, o sistema de tokenização disponibiliza o token correspondente, que é usado para acessar os dados, sem que eles sejam expostos. Dessa forma, a segurança dos dados é garantida, uma vez que, mesmo que o token seja roubado ou acessado por um terceiro, ele não poderá ser usado para acessar os dados reais.
Veja abaixo as vantagens da tokenização de dados em relação a outras técnicas de anonimização:
Comparativo
Mascaramento de Dados
Criptografia de Dados
Tokenização de Dados
Técnica utilizada
Ocultação ou ofuscação
Embaralhamento
Substituição por token
Objetivo
Proteção da privacidade e segurança de informações pessoais sensíveis
Proteção da confidencialidade de dados sensíveis
Proteção da privacidade e segurança de informações pessoais sensíveis
Nível de segurança
Baixo a moderado
Moderado a alto
Alto
Dados originais
Podem ser recuperados com um esforço significativo
Podem ser decodificados com uma chave de criptografia
Difíceis de recuperar ou decodificar
Facilidade de uso
Fácil de implementar e gerenciar
Complexo de implementar e gerenciar
Fácil de implementar e gerenciar
Flexibilidade
Pouco flexível, os dados originais não podem ser recuperados facilmente
Pode ser mais flexível, dependendo do algoritmo de criptografia usado
Flexível, pois os dados originais podem ser facilmente recuperados quando necessário
Aplicações comuns
Ambientes de teste ou desenvolvimento, uso interno
Transações financeiras, armazenamento de dados em nuvem, comunicações seguras
Transações de cartão de crédito, armazenamento de dados em nuvem, uso interno
O hub de tecnologia da Protiviti com com uma solução global completa para tokenização de dados. A Thales é uma empresa líder em segurança digital e oferece diversas soluções de proteção de dados, incluindo a tokenização de dados.
A solução da Thales permite que dados pessoais sejam substituídos por tokens irrevogáveis, assegurando a privacidade e a segurança dos titulares dos dados, permitindo que as empresas atendam LGPD e centralizem a gestão de anonimização, sem perder a eficiência na utilização dos dados.
Conte com a expertise da Protiviti e da Thales para assegurar a proteção de dados pessoais, o redução de riscos do tratamento indevido de dados de pessoas e atender adequadamente a LGPD.
As soluções DLP – ou Data Loss Prevention – impedem que informações sensíveis ou confidenciais sejam compartilhadas ou vazadas fora da organização. Com elas, é possível monitorar e analisar os dados à medida que são transmitidos ou compartilhados, assim detectando e bloqueando quaisquer dados confidenciais que estejam sendo transmitidos sem autorização.
Os sistemas DLP podem ser implementados de várias maneiras, inclusive por meio de dispositivos de hardware, aplicativos de software ou como um serviço em nuvem. Ou seja, com eles é possível monitorar e proteger dados em vários formatos diferentes, incluindo e-mail, transferências de arquivos, tráfego da Web e mais.
Com o DLP, aumenta a proteção contra violações de dados, acesso não autorizado a informações confidenciais e para cumprir regulamentos e padrões do setor. Por isso, é uma ferramenta importante para ajudar as organizações a proteger seus dados e manter a confidencialidade e integridade das informações.
Entre os vários tipos de prevenção contra perda de dados (DLP) que as organizações podem usar para proteger suas informações sigilosas e confidenciais, destacam-se:
DLP de rede: o DLP de rede monitora o tráfego de rede e o analisa em busca de dados confidenciais. Com isso, ele pode bloquear a transmissão de dados pela rede ou alertar os administradores se dados confidenciais forem detectados.
Endpoint DLP: O Endpoint DLP é instalado em computadores ou dispositivos individuais e monitora os dados à medida que são acessados, transmitidos ou compartilhados. Dessa forma ele pode impedir que dados confidenciais sejam copiados ou compartilhados sem autorização.
Cloud DLP: Cloud DLP é um serviço baseado em nuvem que monitora os dados à medida que são transmitidos de ou para uma plataforma de nuvem, pois pode impedir que dados confidenciais sejam compartilhados ou vazados fora da organização.
Além desses três principais, também existem outros tipos especializados de Data Loss Protection projetados para dados ou ambientes específicos. Um exemplo é o DLP móvel, projetado para proteger dados em dispositivos móveis. Também existe o DLP com reconhecimento de conteúdo, projetado para proteger especificamente contra o compartilhamento acidental ou intencional de conteúdo.
Perda de Dados Internos
A perda de dados internos refere-se ao acesso não autorizado ou compartilhamento de informações sensíveis ou confidenciais dentro de uma organização. Isso pode ocorrer quando um funcionário ou outro membro interno da organização acessa ou compartilha dados confidenciais sem a devida autorização. Além disso, violações de segurança interna ou outros problemas também podem ser a causa das perdas. Problemas técnicos, como senhas fracas, dispositivos inseguros ou práticas de segurança inadequadas, também levam a vazamentos e riscos.
Isso pode ter sérias consequências para as organizações, incluindo perdas financeiras, danos à reputação e possíveis penalidades legais. Por isso, é importante que as organizações tenham fortes controles internos para evitar a perda de dados internos e proteger suas informações confidenciais. Isso pode incluir medidas como treinamento sobre políticas de manipulação de dados, implementação de políticas de senha forte e uso de tecnologias como prevenção contra perda de dados (DLP) para monitorar e proteger dados.
Etapas para implementar o DLP em sua empresa
Algumas etapas para implementar um sistema de prevenção contra perda de dados (DLP) são:
Identifique e classifique dados confidenciais: a primeira etapa na implementação do DLP é identificar e classificar os dados confidenciais que precisam ser protegidos. Isso pode incluir dados financeiros, informações pessoais, propriedade intelectual e outros tipos de informações confidenciais. É importante entender onde esses dados estão localizados, como estão sendo usados e quem tem acesso a eles.
Determine o escopo da implementação do DLP: a próxima etapa é determinar o escopo da implementação do DLP. Isso inclui decidir quais sistemas, redes e armazenamentos de dados precisam ser cobertos pelo sistema DLP, bem como quais tipos de dados precisam ser monitorados e protegidos.
Escolha uma solução DLP: existem muitas soluções diferentes disponíveis, incluindo dispositivos de hardware, aplicativos de software e serviços baseados em nuvem. É importante escolher uma solução adequada às necessidades e ao orçamento da organização.
Configure o sistema DLP: uma vez escolhida uma solução, ela precisa ser configurada para atender às necessidades específicas da organização. Isso pode incluir a configuração de políticas e regras para monitorar e bloquear dados, bem como configurar alertas e notificações para quando dados confidenciais forem detectados.
Teste e ajuste o sistema DLP: antes de implantar o sistema em toda a organização, é importante testá-lo e ajustá-lo para garantir que esteja funcionando corretamente e protegendo dados confidenciais com eficiência. Isso pode envolver a execução de testes-piloto, o monitoramento do desempenho do sistema e a realização de quaisquer ajustes necessários.
Implemente e monitore o sistema DLP: uma vez que o sistema foi testado e ajustado, ele pode ser distribuído para o resto da organização. É importante monitorar o sistema regularmente para garantir que esteja funcionando corretamente e para fazer os ajustes necessários conforme necessário.
A implementação de um sistema DLP requer um planejamento cuidadoso e atenção aos detalhes, mas é uma maneira eficaz de as organizações protegerem informações sigilosas e confidenciais.
Serviços gerenciados de segurança: vantagens de terceirizar o DLP
Há vários benefícios em usar serviços de segurança gerenciados (MSS) para executar sistemas de prevenção contra perda de dados:
Especialização: os provedores de MSS geralmente têm uma equipe de especialistas em segurança treinados e experientes na implementação e gerenciamento de sistemas DLP. Isso pode ajudar a garantir que o sistema DLP seja instalado e configurado corretamente e que esteja sendo usado de forma eficaz para proteger os dados da organização.
Custo-benefício: usar MSS para executar DLP pode ser mais econômico do que contratar pessoal interno ou construir e manter um sistema por conta própria. Os provedores de MSS geralmente oferecem vários planos de preços e podem ajudar as organizações a escolher o plano certo para suas necessidades e orçamento.
Escalabilidade: os provedores de MSS normalmente podem dimensionar seus serviços para atender às necessidades de organizações de qualquer tamanho. Isso é importante porque as necessidades de DLP podem mudar ao longo do tempo à medida que uma organização cresce ou muda.
Tecnologia atualizada: os provedores de MSS geralmente têm acesso às tecnologias mais recentes e podem ajudar as organizações a se manterem atualizadas com novos desenvolvimentos e práticas recomendadas.
Monitoramento contínuo: os provedores de MSS podem fornecer monitoramento contínuo de sistemas para garantir que estejam funcionando corretamente e protegendo os dados da organização. Isso pode ajudar a identificar e resolver quaisquer problemas ou vulnerabilidades em tempo hábil.
O uso do MSS pode ajudar as organizações a aproveitar os benefícios do DLP sem precisar investir para gerenciar o sistema internamente. Isso também ajudar organizações a utilizarem os sistemas DLP corretamente e protejam informações sigilosas e confidenciais.
Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?
1. Existe Metaverso sem o mundo real?
Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.
2. O Metaverso opera sem dinheiro real?
Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.
3. Deverão ser implementadas medidas de segurança reais no mundo virtual?
Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.
Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.
4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?
Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.
Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.
* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.
A Lei Geral de Proteção de Dados (LGPD) trouxe uma necessidade prática de nomeação de um encarregado do tratamento de dados pessoais, conhecido como Data Protection Officer (DPO), para atuar de forma profissional e especializada nessa pauta.
Os principais desafios dessa nomeação envolvem a necessidade de conhecimentos que se dividem em aspectos regulatórios, legais, de segurança da informação e de governança capazes de harmonizar os objetivos do negócio e a proteção aos dados pessoais dos titulares envolvidos.
A Associação Internacional de Profissionais de Privacidade (IAPP) estimou que a demanda mundial pode chegar a 75 mil profissionais, escassez que se justifica pela dificuldade de encontrar todas essas habilidades em um único profissional, sobretudo no Brasil, que tem como agravante uma legislação recente e, portanto, pouca experiência no tema. Levando em consideração esse contexto, o modelo “as a service”, ou como serviço, pode ser uma excelente opção.
A modalidade traz a possibilidade de a empresa contratante ganhar experiência de forma quase que instantânea, acelerando a conformidade ao mesmo tempo em que mitiga os riscos regulatórios e os investimentos desnecessários.
Nessa terceirização, a empresa contratante, além de ter o benefício da orientação técnica atualizada e alinhada às melhores práticas de mercado, não precisa depender de orçamento para montar uma equipe de especialistas e investir em formação e certificações constantes, usufruindo da flexibilidade da modalidade enquanto amadurece a necessidade de institucionalizar e internalizar a função.
Outro ganho notado é a autonomia para implementar as boas práticas de proteção de dados, aspecto que tem sido considerado em penalidades e multas no contexto do regulamento europeu que inspirou a LGPD. Sendo assim, a terceirização mitiga o risco do conflito de interesses, que é comum na nomeação de profissionais internos.
Mas, para o modelo “as a service” ter sucesso, é fundamental o patrocínio executivo para o engajamento de todas as partes interessadas e a escolha de empresas com profissionais certificados e suficientemente experientes em proteção de dados, privacidade e segurança da informação.
DPO: situação das pequenas empresas
Neste cenário, surge a dúvida sobre as empresas de pequeno porte. Neste caso, a nomeação de um DPO é necessária? A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um regime jurídico diferenciado para agentes de pequeno porte, dispondo algumas regras que facilitaram a adequação, dentre elas a dispensa da nomeação de um DPO.
Porém, é preciso cautela. A resolução traz exceções de forma que nem todas as empresas de pequeno porte e startups estão isentas da obrigatoriedade do DPO. Nesse sentido, é necessária uma avaliação especializada para entender se a empresa é elegível ao benefício de simplificação e para o correto entendimento dos outros diversos dispositivos legais que permanecem aplicáveis.
O fato é que as obrigações para a manutenção da conformidade com a LGPD podem ser objeto de um contrato “as a service”, mesmo com a dispensa do DPO. Não restam dúvidas de que o ecossistema de proteção de dados das empresas no Brasil, com raríssimas exceções, é jovem, mas pode ganhar muito valor usufruindo do modelo “como serviço”.
* Bruno Santos, Gerente de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Casos recentes de personalidades e políticos com informações falsas em seus currículos revelam a importância de se realizar verificação de dados e um Background Check das informações prestadas por candidatos a vagas de emprego. A preocupação das empresas vai muito além de detectar uma mentira.
O uso de Background Checks e de Entrevistas de Conformidade para checagem e avaliações do candidato são ferramentas que auxiliam empresas a identificar informações falsas ou incompletas sobre:
formação ou histórico profissional;
prevenir casos de corrupção;
assédio;
desvios de conduta.
Tudo isso com base no perfil do entrevistado. Não é só o empregador que ganha com a verificação, mas os candidatos honestos também.
Verificação de dados: como a lei trata a apresentação de currículo falso
O Superior Tribunal de Justiça (STJ) já afirmou que a prestação de informações falsas ou incompletas em currículos não configura crime. Isso porque as informações fornecidas pelos candidatos podem ser verificadas pelos interessados.
Além disso, o STJ também entendeu que currículos eletrônicos, como o LinkedIn e o Lattes, não são considerados “documentos”, já que estão dispostos em um sítio eletrônico ou plataforma virtual.
Para a Corte, só é considerado “documento eletrônico” aquele que consta em site que possa ter sua autenticidade aferida por assinatura digital, conforme descreve a MP 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
De certa forma, o STJ deu carta-branca para o candidato prestar informações falsas ou incompletas sobre sua formação ou histórico profissional. Ao mesmo tempo, alocou nas empresas a responsabilidade de verificar a autenticidade das informações.
A recente legislação de proteção de dados privados (LGPD) trouxe, contudo, obstáculos para as empresas que desejam realizar a verificação de informações do candidato consideradas pessoais.
Na prática, solicitações de informações têm sido prontamente negadas por instituições de ensino e antigos empregadores com a justificativa de que a legislação atual impossibilita a abertura de informações privadas.
Podemos dizer, grosso modo, que, apesar de sua boa intenção, a LGPD blindou os mentirosos. Com isso, ficou mais difícil descobrir se de fato o candidato mentiu, omitiu ou acrescentou informações inverídicas sobre sua carreira profissional e formação acadêmica.
Diante desse cenário, que de um lado exime o candidato do dever de veracidade e transparência, mas do outro sobrecarrega as empresas com responsabilidades da verificação, a contratação de um Background Check se torna uma ferramenta muito útil e com resultados práticos.
Por isso, é crescente a demanda pelo serviço de checagem de antecedentes com a finalidade de mitigar riscos em uma contratação. Há uma crescente preocupação com a imagem no mercado e se estão contratando o candidato certo para o cargo.
De forma a mitigar os riscos, não há outra saída senão realizar a checagem de antecedentes, mesmo com percalços. Até porque esse tipo de levantamento já vem sendo feito e é bem aceito no mercado.
A diferença agora é que, em certos casos, será necessário obter do candidato um documento de autorização para levantamento das informações junto às instituições e empresas listadas no seu currículo.
A nova lei de proteção de dados define, por exemplo, o que são dados pessoais e delimita os princípios fundamentais, como o direito ao acesso e ao consentimento das pessoas sobre seus dados.
A checagem feita com o conhecimento do candidato evita problemas e mitiga riscos. Não é só o empregador que ganha com a verificação, mas os candidatos honestos também.
É possível, ao realizar o levantamento de informações, não só confirmar o histórico profissional e acadêmico, mas também checar vínculos com pessoas, situação jurídica e criminal, filiação e participação política, redes sociais e mídias negativas (inclusive a manifestação de opiniões), entre outros.
Complementando o Background Check, existem empresas que realizam entrevistas específicas focadas em temáticas éticas, com questionamentos situacionais e que podem ajudar a identificar redflags de conformidade moral nos candidatos.
É mais uma ferramenta para auxiliar as empresas e encontrar inconsistências no perfil do profissional e na aderência ética do candidato. Casos de corrupção, assédio e desvios, por exemplo, podem ser evitados com avaliações mais profundas de perfil do candidato a uma vaga.
O Background Check ainda é a medida mais eficaz para mitigar diversos riscos do negócio, além de trazer informações adicionais e mais completas sobre o candidato, facilitando a tomada de decisões sobre sua contratação.
A Protiviti Brasil possui um time dedicado e com expertise para realizar checagem de currículos através de Background Checks e entrevistas de compliance individual. Caso haja interesse, entre em contato conosco.
* Carolina Melo, Analista Sênior de Diligências na Protiviti Brasil.
A transição dos atos cotidianos do mundo offline para o online está mudando radicalmente a forma como o mercado financeiro opera, dando espaço para oferta de produtos financeiros totalmente digitais. As Fintechs — termo usado para definir as empresas que desenvolvem produtos financeiros digitais e tem o uso da tecnologia como diferencial — oferecem uma miríade de soluções neste formato, cartão de crédito e débito, empréstimo e conta digital.
A Ascensão das Fintechs
O crescimento deste segmento é vertiginoso, mesmo antes da pandemia do COVID -19, que acelerou os processos digitais. O relatório da OCDE “A Caminho da Era Digital no Brasil”, 2020, aponta um crescimento de mais de 300% na quantidade de Fintechs e similares ativas país no período entre agosto de 2018 e junho de 2019. Ele também destaca o potencial incentivo à inclusão financeira nos próximos anos, decorrente da concorrência no segmento.
É latente o potencial dessa fatia de mercado em clara ascensão. No entanto, a transição da vida financeira para o meio digital, especialmente para o ambiente digital móvel (mobile banking), com aumento do uso de dispositivos móveis¹, além de oportunidades a serem exploradas, expõe usuários e fornecedores de serviços a maiores riscos como o de fraudes e de golpes de identidade.
Estes riscos não podem ser desconsiderados, na prospecção deste mercado, quando o Brasil tem ocorrência de mais de 3 fraudes por minuto envolvendo cartão de crédito e roubo de dados de consumidores, segundo dados do laboratório de cibersegurança da PFASE (2018).
As Fintechs e a LGPD
Abstract image of traders in financial district with trading screen data, light reflections and blurred movement.
O segmento financeiro, mesmo digital, é robustamente regulado no Brasil. É variado o conjunto normativo que as Fintechs precisam observar para suas operações:
leis complementares;
leis federais;
resoluções e circulares do Banco Central.
Desde setembro de 2020, somou-se a estas a Lei Geral de Proteção de Dados (LGPD), que objetiva dar mais controle e autonomia aos cidadãos sobre seus dados pessoais.
O tema da proteção aos dados pessoais já era presente no segmento financeiro. Principalmente em algumas das normativas prévias à vigência da LGPD, como as Resoluções 4.658/2018 e 4.752/2019 do BACEN, que atuam para proteger os dados financeiros e pessoais de seus usuários, que, caso vazados ou usados de forma indevida, podem colocar em risco a segurança dos titulares.
Pontos críticos da LGPD em relação às Fintechs
Para além da temática de segurança cibernética, bem trabalhada pelas normativas específicas do setor financeiro, destaca-se outros pontos críticos da LGPD com relação às Fintechs, que impactarão substancialmente os processos internos das empresas:
Uso da identificação por biometria para a realização de transações financeiras no modelo de mobile banking — a biometria, classificada pela LGPD como dado sensível (art. 5º, II). Ela demandará, para seu uso, consentimento expresso do titular, no ato da coleta, para tratamento específico desse dado. Também há a necessidade do prestador do serviço garantir, através de medidas técnicas e organizacionais, a segurança adequada desses dados.
Atendimento de diversos direitos dos titulares de dados, em tempo razoável, pelos agentes de tratamento. Para isso será necessário desenhar e implementar na organização um processo estruturado que permita, além de atender ao titular, possibilite o acesso, retificação e eliminação dos dados e ainda o apagamento dos dados e a portabilidade desses para outras instituições².
Foco no compliance regulatório e documentação — a adoção de medidas de segurança, coleta de consentimento, definição de finalidade específica para tratamento dos dados e cumprimento de direitos dos titulares. Essas são atividades que precisam ser devidamente registradas, documentadas e disponibilizadas para os titulares e para a Autoridade Nacional de Proteção de Dados (ANPD) e outras autoridades quando especificado pela legislação, visando assegurar os princípios da transparência e prestação de contas (arts. 6º, VI e X).
Como a LGPD ajuda as Fintechs na redução de riscos
Como as Fintechs podem estruturar o processo interno para permitir redução do risco de fraude e conformidade e aproveitar o potencial deste mercado em conformidade com a LGPD? Seguem alguma dicas:
Desenvolver e divulgar de forma ostensiva uma Política de Privacidade clara e transparente, informando os fluxos de uso de dados com as finalidades respectivas e definir seu Encarregado de Dados (tratado genericamente como DPO)
Disponibilizar, na própria Política de Privacidade, o contato do Encarregado de Dados, quais são os direitos dos titulares e as formas para exercê-los.
Manter à disposição da ANPD o registro das atividades de tratamento e elaboração de relatório de impacto de tratamento de dados, necessário em alguns casos (arts. 37, 38 e 40).
Estruturar processo interno para informar à ANPD e aos titulares de dados quando da “ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares” (art. 48), o que merece especial atenção considerando a natureza dos dados financeiros e a extensão dos prejuízos em caso de vazamento.
Dado o contexto da LGPD e o aumento crescente do uso de dispositivos móveis para transações financeiras e os riscos associados, observa-se a necessidade de uma (re) modelagem de sistemas e processos internos das Fintechs. Isso visando colocar a proteção de dados, através da aplicação do conceito de Privacy by Design, em sua espinha dorsal e integrar a privacidade à cultura organizacional.
*Nathalia Guerra é advogada, especialista em Direito Digital, Compliance, Direito Médico e consultora de Data Privacy na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
¹ Dispositivos móveis são tecnologias digitais que permitem a mobilidade e o acesso à internet. Pode-se citar como exemplos os smartphones, notebooks e tablets.
² O exercício do direito de portabilidade aguarda parâmetros e regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 18, V da LGPD.
