A LGPD não especifica medidas que tratem da segurança de informação, mas exige que as empresas adotem medidas adequadas para proteger os dados pessoais que estão em seu poder.
por Matheus Jacyntho e Rodrigo de Castro Schiavinato*
A proteção da privacidade dos dados pessoais tornou-se uma preocupação fundamental em um cenário cada vez mais digital e interconectado. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes rigorosas para o tratamento adequado e seguro dos dados pessoais no Brasil. Nesse contexto, a cibersegurança desempenha um papel essencial na proteção da privacidade dos dados, uma vez que visa mitigar riscos e evitar violações de segurança que possam comprometer os dados das pessoas.
A implementação de medidas de segurança adequadas, juntamente com soluções especializadas, é crucial para assegurar o atendimento aos princípios da Segurança e prevenção definido no artigo 6º da lei, bem como preservar a confiança dos usuários na era digital e a imagem da organização.
A LGPD não especifica medidas que tratem da segurança de informação, mas exige que as empresas adotem normas técnicas e organizacionais adequadas para proteger os dados pessoais que estão em seu poder e serão tratados. Isso significa que as companhias são responsáveis por implementar medidas de segurança proporcionais aos riscos envolvidos no tratamento dos dados pessoais.
Algumas soluções ajudam a garantir a segurança no tratamento de dados pessoais, tais como:
- Controle de acesso: ao implementar mecanismos que restrinjam o acesso apenas a pessoas autorizadas, é possível garantir que apenas aqueles que necessitam dos dados pessoais tenham permissão para acessá-los. Um desses mecanismos é o MFA (Múltiplo Fator de Autenticação), adotado por meio de soluções, como, por exemplo, o Microsoft Authenticator ou o Google Authenticator. Mesmo em casos de perda de uma senha, o atacante não consegue confirmar o código que estará de posse do colaborador.
- Criptografia: o uso de técnicas de criptografia para proteger os dados pessoais durante a transmissão e armazenamento tornando-os ilegíveis para pessoas não autorizadas.
- Monitoramento e detecção de intrusões: permite estabelecer sistemas de monitoramento contínuo para identificar atividades suspeitas, intrusões ou tentativas de acesso não autorizado aos dados pessoais.
- Gestão de vulnerabilidades: realiza avaliações regulares de segurança para identificar e corrigir vulnerabilidades nos sistemas e nos aplicativos que possam expor os dados pessoais a riscos.
- Políticas de senhas: a orientação é implementar políticas de senhas fortes, que exijam combinações de caracteres complexas, além de sugerir a troca periódica das senhas.
- Treinamento e conscientização: a capacitação dos funcionários permite a compreensão das práticas adequadas de segurança da informação para que os mesmos estejam cientes de suas responsabilidades na proteção dos dados pessoais.
- Backup e recuperação de dados: além de realizar cópias de segurança periódicas dos dados pessoais, é preciso ter um plano de recuperação de dados em caso de perda ou incidente.
- Política de retenção de dados: é preciso estabelecer uma política clara de retenção de dados, garantindo que os dados pessoais sejam mantidos apenas pelo tempo necessário e sejam adequadamente descartados após o período determinado.
- Deleção de dados: a implementação de soluções para eliminação de dados é necessária sempre que o processo de tratamento for finalizado ou seu prazo de retenção expirar. Tal ação, além de ser um requerimento legal exigido pela LGPD, também reduz a exposição ao risco de vazamento de dados que não tem mais finalidade dentro da empresa.
As medidas de segurança de informação mencionadas podem ser complementadas por várias outras soluções de cibersegurança para fortalecer a postura de segurança de uma organização, além de auxiliar na conformidade com as exigências da LGPD.
*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
