Em uma recente pesquisa publicada pelo Journal of Data and Information Quality da ACM (Association for Computing Machinery), o MIT (Massachusetts Institute of Technology) apontou que o número de vazamento de dados cresceu 493% no Brasil.
A cifra diz respeito ao cenário brasileiro em 2019, dados mais recentes, pouco antes da LGPD (Lei Geral de Proteção de Dados) entrar em vigor no país, com sanções administrativas para aqueles que infringirem os artigos que nela existem. Em outras palavras, desde agosto de 2021, quem não possui o cuidado correto com dados das pessoas físicas e jurídicas no Brasil, passam a ser penalizado por isso.
Mas de que forma isso afeta o mercado? Desde então, sobretudo as empresas brasileiras que lidam diariamente com informações de usuários, estão correndo contra o tempo para ficarem cada vez mais em conformidade com a legislação. Isso porque, a maioria das pessoas vêm buscando soluções com quem traz para ela um sentimento maior de segurança.
Até mesmo antes de entrar em vigor, a área de tecnologia da informação é uma das que mais tiveram repercussão com a LGPD, por ser o segmento responsável pelo gerenciamento dos dados que estão sob custódia de uma empresa. No trabalho de desenvolvimento de software, o pente passa a ser ainda mais fino. Ou melhor, uma vez que uma empresa se apresenta mais engajada e adequada à legislação, ela passa a ter um diferencial competitivo no mercado.
Para se ter uma ideia, o mesmo estudo do MIT que mostrou o aumento no número de vazamento de dados do Brasil em um ano, também deixou público que 96% dos brasileiros dizem que querem ter controle dentro dos aplicativos e sites, que 70% acreditam que os dados são menos seguros hoje do que há cinco anos e que, destes, apenas 2% não acreditam que os dados sejam vulneráveis.
Empresa x aplicação
O coordenador de segurança da informação do Grupo DB1, formado por empresas brasileiras de tecnologia que atuam na América Latina e Estado Unidos, André Luiz Alves, consegue listar alguns pontos que as instituições precisam e podem se atentar mais. “É preciso tomar alguns rumos. Primeiro de tudo ela precisa entender que existe uma divisão entre a empresa e a aplicação que ela colocou no mercado”, detalha o especialista.
André detalha que, no primeiro plano, o olhar volta para a pessoa jurídica. É importante que ela tenha todos os pré-requisitos, como frameworks pré-estabelecidos e certificações como as ISOs 27000 e 90001, CMMI (Capability Maturity Model Integration), Mose Competence e Mose.LGPD. “Isso proporciona um conjunto de controle em seguranças e governança de dados que deixam a empresa num patamar de segurança jurídica”, complementa.
Já quando o assunto é a aplicação, a companhia tem que estar apta aos requisitos solicitados internacionalmente. Segundo o especialista, esse hoje é o maior desafio para as empresas na área de desenvolvimento de software. “A empresa pode estar aderente em compliance com a LGPD. Mas a aplicação precisa não estar aderente à legislação, mas sim aos requisitos solicitados hoje pelo mercado na questão privacidade de dados. Isso que temos que diferenciar”, pontua.
Privacy by design and privacy by deafult
Ainda no que diz respeito às preocupações com a aplicação ou site desenvolvido, outra forma de disseminar ainda mais essa cultura de prioridade com a LGPD é o privacy by design e privacy by deafult, um diferencial ainda pouco adotado por empresas de tecnologia, conforme lista o coordenador de segurança da informação.
Ele detalha que quando a gente fala de design existem sete passos a serem seguidos. “O primeiro é ser proativo e não reativo, uma atuação baseada em não esperar que os riscos se concretizem, mas pensar antes”, informa.
Em seguida, André traz o próprio privacy by default, isto é, privacidade na configuração padrão. “Significa entender qual o propósito da coleta. Se está sendo uma coleta legal, se prioriza a coleta de dados minimizada, ou seja, coletando só o necessário para aquela finalidade e se tenho algo referente ao controle da retenção dos dados até o momento em que ele precisa estar dentro daquela aplicação”, detalha.
Depois vem a privacidade incorporada ao design, no qual precisa documentar que a arquitetura do próprio sistema e as práticas utilizadas nelas visam a privacidade do próprio usuário ativo, segundo André. “O quarto passo é a preocupação com a funcionalidade completa, trazendo segurança de ponta a ponta; o quinto a visibilidade e transparência, quando se coloca a responsabilização por pessoas, quem é responsável pelo que; e o sexto o compliance, mecanismo para mostrar que a empresa está aderente às legislações e como está aderente a essas legislações”, completa.
Por fim, o respeito à privacidade do usuário. O especialista conta que é necessário colocar funcionalidade de consentimento do usuário, pensar na exatidão dos dados e no acesso do usuário as suas próprias informações e mecanismos que tragam compliance, que diga que “isso aqui eu estou atendendo o requisito de tal legislação”.
Seguindo esses sete passos a empresa e a aplicação vai estar aderente ao privacy by design que é quando a legislação é atendida desde a concepção e desde o design do entendimento do projeto de desenvolvimento.
O que hoje as empresas estão entregando quando se fala em privacy by design?
- Gestão do consentimento. Receber o sim do usuário, guardar a informação e, em caso de revogação, ter um mecanismo que revoga automaticamente;
- Separação do banco com informações pessoais;
- Processo de anonimização, mascaramento ou criptografia, precisar ser bem estudado;
- Ocultação de informações sensíveis. Exemplo: saldo da conta escondido no aplicativo bancário;
- Tabela de periodicidade. Exemplo: consentimento válido por cinco anos. Depois desse período, será enviado um e-mail ao titular perguntando se ainda consente;
- Portabilidade;
- Rastreabilidade. Rastrear passo a passo de toda a interação feita na aplicação;
- Auditabilidade. Auditar quem fez o que, quando e como;
- Multi-factor Authentication, ou melhor, segundo fator de autenticação, como token, SMS, e-mail etc.
Certificação Assespro-RS para DPO
A 23ª edição da Certificação Assespro-RS para DPO, capacitação pioneira sobre encarregado de dados no Rio Grande do Sul, acontece nas manhãs dos dias 08 a 13 de agosto, Online (ao vivo). As inscrições podem ser feitas no site do evento. O valor do 2º lote encerra dia 14/07.
Módulo Aplicado LGPD: Boas práticas de Marketing e Negócios
- Fonte: TIInside.com.br
- Imagem: Freepik
- 12 de julho de 2022