Home / Cyber Security / GDPR: overview, riscos e segurança da informação.
GDPR: overview, riscos e segurança da informação.

GDPR: overview, riscos e segurança da informação.

GDPR: contexto e regulações anteriores.

Para entender GDPR e suas implicações, é útil analisar o contexto e a história. Primeiro, GDPR é a sigla para General Data Protection Regulation. Em português, Regulamento Geral de Proteção de Dados. Trata-se de uma legislação da União Europeia (UE), que foi proposta em 2012. A aprovação aconteceu em abril de 2016 e a lei está vigorando desde 25 de maio de 2018. Apesar de ser uma discussão iniciada há muitos anos, é notório que a questão foi bastante pulverizada recentemente. No geral, era um assunto restrito aos universos jurídico, TI e riscos. Entretanto, a disseminação da consciência dos valores dos dados pessoais e dos riscos de uma gestão inadequada dão fôlego para a discussão pública.

Apesar da maior comoção, GDPR não é a primeira regulação sobre proteção de dados. O tema já tem décadas e outros eventos regulatórios eram válidos anteriormente. Especificamente na UE, a proteção de dados era centrada na Diretiva 95/46/CE. Substituída pela GDPR, ela já trazia princípios sobre tutela de dados pessoais, coleta, manipulação, tratamento, etc. Além disso, outras diretivas eram complementares, mas o detalhamento não se faz necessário. O importante é assimilar que privacidade e dados já envolviam responsabilização.Aliás, princípios de segurança da informação também são tratados pela OECD – Organization for Economic Co-operation and Development. Em português,  OCDE – Organização para a Cooperação e Desenvolvimento Econômico. O órgão tem a missão de promover políticas para melhorar questões econômicas e de bem-estar no mundo. Para saber mais, leia nosso texto sobre a ISO 27001, que tem 7 dos 9 princípios da OECD em seu Anexo B. Voltando ao GDPR, em linhas gerais, a lei foi criada com o intuito de garantir direitos básicos de privacidade e segurança aos cidadãos. A seguir, aprofundaremos alguns aspectos da legislação para que fique mais fácil entender sua abrangência.

 

Características gerais da GDPR.

Destacaremos os principais pontos da GDPR, de acordo com o que diz a íntegra da regulação em português. Obviamente, o tema é bastante denso, por isso não é viável cobrir todos os pormenores do texto oficial. De forma resumida, GDPR é um regulamento pioneiro, que reúne leis voltadas à proteção dos direitos dos cidadãos europeus. Especificamente sobre a questão de proteção aos indivíduos, a lei respeita um direito fundamental da Carta dos Direitos Fundamentais da União Europeia.

Apesar de ser uma regulação europeia, é essencial compreender que a validade é global. Isso acontece porque a lei rege todas as relações que envolvam europeus. Ou seja, todas as empresas do mundo que lidam com dados de pessoas ou serviços dos países da UE são acometidas pela GDPR.

Como no ambiente digital as fronteiras físicas são rompidas com a facilidade de alguns cliques, a legislação está impactando um raio muito maior do que a União Europeia. Logo, o Brasil também é diretamente afetado pelo Regulamento Geral de Proteção de Dados e também pela LGPD – Lei Geral de Proteção de Dados, que é a regulação nacional. Há muitas similares entre ambas, mas as empresas precisam estar atentas. Afinal, a partir de agosto de 2020, a lei brasileira entrará em vigor e a possibilidade de sanções será dupla.

Alguns exemplos de empresas brasileiras suscetíveis à GDPR deixam mais clara a queda de fronteiras na proteção de dados. Mesmo com sede no Brasil, negócios que ofereçam seus serviços também na UE ou que de alguma forma tenham informações de europeus precisam analisar seus critérios e enquadraram-se nas regras. Como a preocupação da GDPR é a garantia de segurança e privacidade, se um usuário visita um site de e-commerce brasileiro e insere seus dados, já há abertura para aplicação da GDPR.

Sanções da GDPR

Sanções da GDPR.

Como descrito acima, todas as empresas de todos os países que fazem negócios com cidadãos da UE devem estar em conformidade com os padrões GDPR. Portanto, as sanções são aplicáveis a todos deste imenso grupo. Entrando propriamente nas sanções, as altíssimas multas da GDPR foram um dos tópicos que mais movimentaram a mídia. As punições podem chegar a 4% da receita anual global ou 20 milhões de euros, o que for maior. E tem mais. Além das multas monetárias, há também a previsão de que a Autoridade Regulatória tem poder para proibir uma organização de fazer negócios.

Alguns fatores serão ponderados para a aplicação da sanção, como tipos de dados afetados, grau de negligência e infrações anteriores. Além da multa de 4%, há também a sanção 2% do faturamento anual global ou 10 milhões, o que for maior. Obviamente, a sanção dependerá de qual regra foi infringida.

Algumas sanções já realizadas dão melhores contornos sobre a aplicação da lei. Na Áustria, uma multa de 4,8 milhões de euros foi emitida para uma empresa por operar sistema de CCTV (closed-circuit television) não autorizada. Na Alemanha, foi imposta multa de 20 mil euros por não proteger senhas de funcionários. Outro caso que ficou bastante conhecido foi a multa imposta pela CNIL (autoridade de proteção de dados francesa) ao Google. Sob alegação de processamento de dados pessoais para fins publicitários sem a devida autorização, a empresa foi multada em 57 milhões de dólares.

Para os espertinhos que acreditam que não informar sobre os incidentes poderá evitar a multa, a situação é oposta. As empresas têm a obrigatoriedade de notificarem o ocorrido em até 72h. Se houver ocultação da violação de segurança e/ou vazamento, poderá ocorrer multa por não reportar às autoridades.

 

GDPR e seguro cibernético.

Um assunto que gera bastante dúvida é a relação entre GDPR e o seguro cibernético. As apólices cobrirão as multas altíssimas descritas no tópico acima? O cenário ainda não é muito claro e a resposta é complexa. As apólices de seguro cibernético costumam tratar de violações de leis de privacidade, mas o órgão regulador pode inviabilizar a cobertura. Como as sanções têm caráter punitivo, poderia sobrevaler a definição legal de eficácia da sanção. O que isso significa? Violações da GDPR podem ser consideradas responsabilidades intransferíveis. Portanto, as multas não poderiam ser cobertas por seguradoras.

Por envoler meandros legais, não é possível fazer nenhuma afirmação categórica. Tudo seria passível de avaliação e ponderação judicial. Para efeito de suposições, como uma das bases da regulação é o fator de responsabilidade, a não transferência seria cabível. Logo, continuando no mundo das hipóteses, se a empresa fosse comprovadamente responsável pelo descumprimento da lei, a multa não poderia recair ao seguro.

Premissas da GDPR

Premissas da GDPR.

Uma premissa importantíssima da GDPR é sobre a coleta de informações. Os dados de europeus só podem ser capturados e/ou armazenados com a autorização do usuário. Este aspecto envolve o consentimento, que pode ser revogado a qualquer momento. Outra premissa essencial é justamente o direito de solicitar que os dados sejam deletados da base. Isso deve estar previsto nos termos e condições e ser respeitado sem prerrogativas. O atendimento ao pedido de ser esquecido também pode ser combinado com a portabilidade dos dados, tudo fica a critério do que o usuário deseja que seja realizado com seus dados.  

Como são diversas obrigatoriedades, resumimos as principais nos tópicos abaixo:

  • Permissão para que o usuário escolha como os dados serão tratados, incluindo a autorização e/ou desautorização do uso.
  • Clareza sobre quais dados estão sendo coletados e para quais finalidades.
  • Priorização da compreensão por qualquer pessoa por meio de uso de linguagem objetiva, concisa e transparente em todas as comunicação e termos.
  • Facilidade para a exclusão das informações do usuário do registro da empresa e/ou interrupção da coleta dos dados.
  • Disponibilização de acesso, cópia ou migração dos dados coletados, quando cabível e solicitado.
  • Notificação de incidentes de vazamento ou violação dos dados em até 72h.
  • Atuação de um DPO – Data Protection Officer, profissional qualificado e certificado para supervisionar o tratamento dos dados e também responsável pela prestação de esclarecimentos.

É perceptível que adequar-se à GDPR não é um projeto de um dia. A norma que responsabiliza as organizações e aumenta os direitos dos indivíduos demanda atenção e uma atuação estratégica. Debruçar-se sobre o tema com real intenção de cumprimento da lei é o primeiro passo, portanto, você está no caminho correto.

 

GDPR e da cultura corporativa.

Ainda sobre GDPR não ser um projeto pontual, há o peso de mudança cultural. As empresas precisam de um esforço inicial mais voluptuoso de adequação. Com exceção daquelas que já possuíam uma estrutura de segurança da informação bastante avançada. Entretanto, a adequação é contínua. Desde maio de 2018, as empresas estão obrigadas a tratarem dados de acordo com a GDPR. O projeto envolve uma mudança cultural corporativa, que resvala no passado, presente e futuro. Por isso, é compreensível o esforço inicial, mas a conformidade contínua é o novo padrão.

GDPR, gestão de riscos e segurança da informação

GDPR, gestão de riscos e segurança da informação.

Os pontos de contato entre GDPR, gestão de riscos e segurança da informação são diversos. Focando no objetivo comum de garantir segurança, a aproximação das áreas pode auxiliar bastante nos processos de alinhamento à lei. Um dos passos fundamentais é que as empresas avaliem seus produtos, serviços, soluções, etc. de acordo com as disposições da lei. Aqui, por exemplo, caberia a realização de um DPIA –  Data Protection Impact Assessment. O DPIA é um processo que viabiliza a análise, identificação e redução sistemática dos riscos de proteção de dados.

Executar um DPIA, de forma adequada, é um passo relevante na jornada de cumprimento das obrigações. Entretanto, isso não significa que todos os riscos serão mitigados. Trata-se de um processo, que precisa ser combinado com outras rotinas. Como a ferramenta é flexível, sua aplicação pode seguir modelos de mercado e/ou ser desenvolvida de acordo com as necessidades do projeto. O cuidado geral deve ser apenas o rigor quando aos riscos, dados e privacidade envolvida.

Outro aspecto importante é a conscientização dos colaboradores. Por isso, difundir os conhecimentos sobre a lei e compartilhar a importância de gerenciar riscos com todos da equipe é uma tomada de decisão crítica. Assim como já é parametrizado em políticas de segurança da informação, controle de acessos e clareza informacional são itens cruciais.

Fala-se muito sobre criptografar dados, mas vale entender que a implantação é vinculada à gravidade dos riscos. A exigência do GDPR é de que as empresas garantam um nível de segurança adequado para cada situação. Da coleta ao armazenamento e transmissão dos dados, as medidas de segurança devem ser baseadas nos riscos. As tecnologias disponíveis e fatores como custos envolvidos também são partes da ponderação.

 

GDPR e mudança de mindset.

Um impacto significativo da GDPR é a mudança de mindset. Empresas que negligenciavam a segurança e a privacidade dos dados de seus clientes estão passando por uma transformação. Organizações que já eram atentas à segurança, enxergam a possibilidade de terem um gerenciamento de dados ainda mais robusto. Mesmo que para alguns os motivos sejam a pressão legal e as pesadas sanções e para outros seja uma oportunidade de melhoria, o processo pode ser muito benéfico se avaliado com viés estratégico.

Ao atender à legislação, as empresas respeitam e resguardam os cidadãos, mas também o negócio. Além de evitar vazamentos e as consequências de problemas com a gestão de dados, elas podem avançar a segurança como um todo. Inclusive, vale ressaltar, que a lei traz parâmetros bastante específicos, mas segurança da informação não é novidade. A necessidade de avaliar e gerenciar riscos é antecessora à GDPR.

Um exemplo do que já existia em segurança da informação é a ISO 27001, que aborda diversos fatores similares à lei. Sendo que, além da proteção de dados, a certificação internacional também engloba a segurança de todos os ativos e informações da empresa. Gostaria de saber mais sobre esta conexão? Confira um infográfico sobre como a ISO 27001 pode auxiliar na adequação à GDPR.

Sobre Helio Cordeiro

mm
Bacharel em sistemas de informação e MBA executivo internacional pela Fundação Instituto de Administração FIA, é executivo sênior em gestão e consultoria pela DARYUS. Possui mais de 15 anos de experiência em segurança da informação, tecnologia e inovação, incluindo engenharia de software, cyber security, governança, gestão de riscos e compliance, através de projetos realizados nos Estados Unidos, Europa e América Latina.

Confira tambem

Google Calendar no olho do furacão de ataques de phishing

Hackers utilizam o aplicativo para disparar campanhas de phishing e coletar dados pessoais Popular e …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *