A maior dificuldade em promover a cibersegurança no mundo corporativo

Os ataques cibernéticos a empresas brasileiras cresceram 220% no primeiro semestre de 2021, em comparação com o mesmo período do ano anterior, segundo dados divulgados pelo grupo Mz. Somos o quinto país mais afetado por esses crimes.

Os ataques cibernéticos a empresas brasileiras cresceram 220% no primeiro semestre de 2021, em comparação com o mesmo período do ano anterior, segundo dados divulgados pelo grupo Mz. Somos o quinto país mais afetado por esses crimes, o que faz com que a preocupação em garantir a segurança dos dados esteja mais forte do que nunca.

Mesmo diante de tamanha necessidade, muitas empresas ainda falham nessa missão, não dando a devida atenção e investimento necessário.

Apesar da vigência da Lei Geral de Proteção de Dados (LGPD) e o anúncio da aplicação de multas para aquelas que não cumprirem com as regras, cerca de 84% das organizações ainda não se adequaram às normas exigidas pela Autoridade Nacional de Proteção de Dados (ANPD), de acordo com um estudo feito pela CodeBy.

Neste cenário, a impunidade pode ser a grande influenciadora.

Ainda não temos um consenso sobre a forma como a Autoridade Nacional de Proteção de Dados (ANPD), autoridade responsável pela verificação, irá aplicar tal fiscalização – o que faz com que muitas empresas ainda não se preocupem com possíveis multas.

Até que o primeiro caso venha à tona, o modelo de gestão no país será passivo, dependente de uma atitude mais rígida perante o órgão para uma mudança efetiva.

A maior dificuldade em promover a cibersegurança está, sem dúvidas, na conscientização dos empresários perante sua importância.

Muitas equipes não estão treinadas e informadas sobre os processos a serem cumpridos, disponibilizando, por exemplo, canais para cadastramento de dados e informações pessoais sem que estejam criptografados para garantir a segurança dos clientes.

Para piorar, a falta de um departamento exclusivo à essa tarefa, junto com a inexistência de políticas de acesso adequadas, como guias para a adequação à Lei, são descuidos que prejudicam ainda mais a proteção dos dados.

Diante de tantos crimes cibernéticos – especialmente o sequestro e roubo de dados, para venda no mercado paralelo ou para que seja feito algo contra a base de informação – já está mais do que na hora de adotar práticas conjuntas visando a cibersegurança das empresas.

Ao contrário do que muitos imaginam, não existe uma ferramenta ideal ou única para essa tarefa. Na verdade, o preparo tecnológico representa apenas uma parte do todo, para garantir a segurança dos dados.

Muito além do que dispor de firewalls de boa qualidade, antivírus, ou um DLP (Data Loss Prevention) atualizado, é imprescindível criar uma área dedicada à essa missão.

Busque também consultorias externas para contribuir com esse processo. Elas trarão um olhar de fora sobre como a organização está tratando seus dados e, o que deve ser aperfeiçoado – tanto em sua política interna quanto nos investimentos tecnológicos necessários.

Em uma terceira ponta, um escritório de advocacia especializado na LGPD se torna fundamental para informar sobre os possíveis riscos e como enquadrá-la ao seu negócio.

Todas essas ações, quando desempenhadas por profissionais qualificados e preparados, proporcionarão a adequação necessária. Por isso, não deixe de investir em treinamentos e capacitações constantes, para que as equipes estejam prontas para lidar com as demandas.

A atualização contínua sobre as melhores práticas do mercado, aliadas à conscientização dos colaboradores, com certeza contribuirão para que seu negócio consiga proteger seus dados e, evitar ao máximo, ataques que possam danificá-lo.

Por: Bruno Cedaro, COO Digital e CBDO da Pontaltech, empresa especializada em soluções integradas de voz, SMS, e-mail, chatbots e RCS.

Sobre a Pontaltech:

Fundada em 2011, a Pontaltech é uma empresa de tecnologia especializada em comunicação omnichannel que ajuda empresas a automatizar e escalar seus atendimentos com um portfólio composto por diversos canais digitais e de voz. Com soluções integradas de SMS, e-mail, chatbot, RCS, agente virtuais, entre outros, simplifica a comunicação das empresas com seus clientes de forma inteligente e eficiente, sem nunca perder a proximidade humana.

Fonte: Rede Jornal Contábil.

Campanha alerta consumidor sobre proteção de dados

Objetivo é auxiliar na identificação de tentativas de golpes virtuais “Proteja seus dados. Não compartilhe.” Esse é o slogan da campanha online lançada pelo Ministério da Justiça e Segurança Pública, na quarta-feira (11), para alertar o consumidor

“Proteja seus dados. Não compartilhe.” Esse é o slogan da campanha online lançada pelo Ministério da Justiça e Segurança Pública, nesta quarta-feira (11), para alertar o consumidor sobre possíveis golpes no mundo virtual.

“A ampliação da informação entre consumidores ajuda a minimizar e dificultar a invasão da privacidade de dados pessoais.  Campanhas educativas como essa fazem com que o conhecimento seja difundido, orientando e alertando o consumidor sobre os riscos e conscientizando-o sobre a importância dos seus dados pessoais”, destaca o ministro da Justiça e Segurança Pública, Anderson Torres.

Campanha alerta consumidor sobre proteção de dados

A iniciativa de fazer uma campanha educativa surgiu diante dos riscos de uso indevido de dados pessoais, incluindo comercialização e vazamento, e do grande aumento de reclamações registradas.

Dados da plataforma Consumidor.gov.br apontam que de janeiro a julho deste ano o número de consumidores que tiveram dados pessoais ou financeiros consultados, coletados, publicados ou repassados sem autorização mais que dobrou em relação ao mesmo período do ano passado. Foram 47.413 reclamações em 2021, enquanto em 2020 foram 21.310. O número do primeiro semestre deste ano, inclusive, já supera o total de registros em 2020, que foi de 44.750.

“O principal eixo da campanha é a prevenção de fraudes eletrônicas, por meio da conscientização do consumidor sobre os riscos que existem ao compartilhar indevidamente seus dados pessoais e bancários. Queremos proteger e garantir a sua segurança no ambiente digital”, afirmou a secretária Nacional do Consumidor, Juliana Domingues.

A campanha do Ministério, por meio da Secretaria Nacional do Consumidor (Senacon), conta com o apoio da Autoridade Nacional de Proteção de Dados (ANPD).

LGPD

O mês escolhido para iniciar a campanha é também o período em que a Lei Geral de Proteção de Dados (LGPD) completa um ano. A LGPD estabelece regras sobre o uso dos dados pessoais de brasileiros e garante ao cidadão o direito fundamental à privacidade e à segurança de suas informações. Apesar de estar em vigor há um ano, somente a partir de 1º de agosto deste ano é que a ANPD pôde começar a aplicar sanções a quem descumprir a lei.

O prazo foi determinado pelo Congresso para dar tempo de as empresas se adequarem à legislação e para que a ANPD pudesse regulamentar algumas regras.

Com informações do Ministério da Justiça e Segurança Pública

LGPD: O inicio das Aplicações das multas

A Lei Geral de Proteção de Dados (LGPD) foi aprovada em agosto de 2020, contudo, os artigos que tratam das penalidades somente entraram em vigor em agosto. Em resumo, agora é para valer! Por causa desse atraso na aplicação das multas, poucas empresas se ocuparam da nova norma, seja ela pequena ou grande. 

A Lei Geral de Proteção de Dados (LGPD) foi aprovada em agosto de 2020, contudo, os artigos que tratam das penalidades somente entraram em vigor em agosto.

Em resumo, agora é para valer!

Por causa desse atraso na aplicação das multas, poucas empresas se ocuparam da nova norma, seja ela pequena ou grande.

Pesquisas mostram que mais de 50% das companhias listadas na B3 da Bovespa ainda não se adaptaram.

“Nova norma” é um eufemismo: a lei n° 13.709 é de 2018, e a maior parte dos seus artigos entrou em vigor em 2020, ficando as penalidades para 2021 (artigos 52, 53 e 54).

Os jornais noticiaram recentemente ações de sindicatos contra empresas já exigindo penalidades para aquelas que expuseram os dados de seus funcionários.

Como já esperávamos, a lei será um motivador de litígios – alguns unicamente pecuniários.

Leis protetivas ajudam hipossuficientes eventualmente injustiçados, mas também atraem arrivistas e gananciosos, outro esporte no qual contamos com recordistas olímpicos em profusão.

Assim, recomenda-se dar atenção à lei e preparar a empresa para isso.

Nos processos recém ajuizados sobre o tema, livraram-se aquelas empresas que demonstraram a adoção de medidas e boas práticas visando o cumprimento das determinações legais; as outras estão sendo obrigadas a se adaptar em curto espaço de tempo, sob pena de multas diárias impostas pelo judiciário.

Para relembrar alguns pontos da lei, colocamos abaixo alguns conceitos relevantes e cuidados que toda empresa deve ter:

  • Os dados protegidos pela lei são aqueles das pessoas físicas somente, não das PJ.
  • Dado pessoal não se restringe àqueles mantidos em sistema de informática, mas é qualquer informação da pessoa física que seja controlada por uma pessoa jurídica: vai do atestado médico admissional ao boletim escolar, passando pela caderneta de vacinação dos filhos, dados de sócios em um contrato social, e o histórico de crédito, dentre outros.
  • Toda empresa precisa ter um encarregado de dados pessoais, pessoa assim nomeada para atuar como canal de comunicação entre o controlador dos dados e os seus titulares, bem como a ANPD – Autoridade Nacional de Proteção de Dados.
  • A utilização de dados pessoais deve ser precedida de consentimento por escrito do titular dos dados.
  • Exclui-se da necessidade de consentimento a utilização para fins jornalísticos, acadêmicos, cumprimento de obrigações legais, utilização judicial, execução de contratos, proteção do crédito dentre outros.
  • O compartilhamento dos dados deve também ser precedido de consentimento.
  • Encerramento o tratamento dos dados, os mesmos devem ser eliminados.
  • O titular dos dados pode, a qualquer momento, acessar os dados, confirmar a sua existência, portar os dados para outro fornecedor, revogar o consentimento e solicitar a sua eliminação.
  • Pode o controlador dos dados implementar programa de governança com regras próprias para o tratamento dos dados e seu acesso por terceiros, bem como o cumprimento da lei.
  • As penalidades por descumprimento da lei podem chegar a até 2% do faturamento, limitada a R$ 50 milhões por infração.

Como dito, tudo já estava valendo, menos as penalidades, que entram em vigor em agosto deste ano.

Para quem ainda não se adaptou, passou a hora.

Gasta-se energia, tempo e dinheiro; mas empresas pequenas e médias conseguem realizar um programa de governança de dados de maneira acessível.

O programa começa por um diagnóstico com a indicação dos pontos críticos, ou seja, identificando processos internos nos quais dados são tratados; em seguida, é hora de criar regras para esses processos.

Por fim, é o momento de adaptar seus documentos, contratos, e políticas internas para o atendimento da lei: inserção de cláusulas em contratos padrão, adoção de um termo de consentimento padrão, criação de uma política de privacidade, dentre outros.

Quem quiser, pode ainda realizar a certificação da ABNT específica para a LGPD, o que lhe garantirá uma prova documental da implementação de boas práticas.

Ela está chegando!

Por: Marco Aurélio Medeiros, advogado desde 1999. Pós-graduado em Direto da Economia e da Empresa e em Gestão Empresarial pela Fundação Getúlio Vargas – FGV, Mestrando em Contabilidade Tributária pela FUCAPE/RJ. Ex-professor de Direito Empresarial da Universidade Estácio de Sá e ex-auditor do Tribunal de Justiça Desportiva do RJ.

Fonte: Rede Jornal Contábil .

MP permite revisão por humanos de dados analisados por computadores

O cidadão que se sentir prejudicado pela análise de dados realizada exclusivamente por computadores pode solicitar a revisão dos resultados por seres humanos.

A regra vale para os casos em que o tratamento automatizado seja usado para fundamentar decisões que afetem os interesses do usuário, como a definição de perfil pessoal, profissional, de consumo ou de crédito.

O texto original da medida provisória (MP) 869/2018 já previa a possibilidade de revisão das decisões baseadas unicamente no tratamento automatizado. Mas o relator da matéria na comissão mista, deputado Orlando Silva (PCdoB-SP), incluiu um dispositivo no texto para assegurar que o novo tratamento seja obrigatoriamente realizado por “pessoas naturais”. As regras para a revisão devem ser definidas pela Autoridade Nacional de Proteção de Dados (ANPD).

O texto também permite que o cidadão formalize reclamações junto à ANPD por eventuais irregularidades no tratamento de dados. Mas a medida vale apenas como um recurso: primeiro, o usuário deve comprovar que tentou e não conseguiu resolver o problema junto ao responsável direto pela análise dos dados.

Outra mudança incluída na MP 869/2018 trata do conceito de “consentimento”. De acordo com a Lei 13.709, de 2018 — conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) — o tratamento de dados pessoais só pode ocorrer após autorização do titular. O relatório do deputado Orlando Silva (PCdoB-SP) permite que “dados de acesso público” ou “tornados manifestamente públicos” sejam tratados sem novo consentimento. Mas o parlamentar impõe algumas restrições.

— Propomos o tratamento sem necessidade de consentimento, desde que, para propósitos legítimos e específicos, e respeitados os fundamentos e princípios da lei. Assim, haverá um balanço saudável entre a livre iniciativa e a criação de novos serviços com o direito à privacidade e intimidade. Já para dados sensíveis, não julgamos seguro para a proteção do titular essa extensão de possibilidade de tratamento — explica.

O relatório também prevê um atendimento diferenciado para idosos. A partir de uma emenda do senador Izalci Lucas (PSDB-DF), a ANPD deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”.

O deputado Orlando Silva também incluiu no texto medidas para facilitar a vida de micro e pequeno empresários. De acordo com o relatório, a ANPD deve editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para atender as empresas de pequeno porte.

O senador Rodrigo Cunha (PSDB-AL), integrante da comissão mista, elogiou o relatório do deputado Orlando Silva.

— O objetivo é buscar o equilíbrio e a segurança para os consumidores, fazendo com que eles sejam protegidos. De outro lado, fazer com que as empresas e o Poder Público evitem abusos, mas também sejam incentivados a fazer bom uso desses dados — afirmou.

Por Agência Senado

Consequências e desafios da nova Lei Geral de Proteção de Dados (LGPD) para as empresas

A finalidade é aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.

A Lei Geral de Proteção de Dados (LGPD) altera significativamente as obrigações das empresas quanto ao manuseio e tratamento de informações pessoais de seus colaboradores, funcionários de empresas terceirizadas, clientes e fornecedores. E tem a finalidade de aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.

Hoje as empresas utilizam big data e analytics para extrair dados de clientes e assim oferecer produtos e serviços de forma mais assertiva, de acordo com gostos e preferências dos consumidores. Um dos principais dispositivos da lei referente a esse ponto é a obrigatoriedade da obtenção do consentimento expresso do titular do dado pessoal nas situações em que ocorrer seu tratamento, como no caso citado. A forma de obtenção desse consentimento pode variar, mas a anuência deve ocorrer.

Caberá à Autoridade Nacional de Proteção de Dados (ANPD) a responsabilidade de acompanhar e fiscalizar se as empresas estão cumprindo com a nova lei. Neste sentido, uma das ferramentas à disposição da Autoridade é um dispositivo que prevê a apresentação de um “Relatório de Impacto à Proteção de Dados Pessoais”, que poderá ser solicitado a qualquer momento pela ANPD e deverá conter, minimamente, a descrição dos processos de tratamento de informações pessoais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Essa é mais uma forma da ANPD ter visibilidade de como as empresas utilizam dados pessoais para fins de “big data e analytics”.

Assim, a nova lei impactará diretamente todos os setores produtivos da economia, que de alguma forma, faz uso ou mesmo simplesmente coleta dados pessoais, , afetando-os em menor ou maior grau. Empresas de serviços ao consumidor possivelmente terão mais trabalho na adequação à lei, por conta do alto nível de interação com estes e com a vasta cadeia de valor associada à prestação desses serviços. Mas como as empresas podem se adaptar à nova lei? O primeiro passo é sem dúvida um mapeamento criterioso das atividades de cada departamento interno da empresa no tocante à coleta e ao tratamento de dados pessoais. A partir daí a empresa terá uma lista de ações específicas para cada departamento de forma a atender aos requisitos da lei. Depois do mapeamento vem a implementação propriamente dita, que também traz suas complexidades e vai depender das características de cada departamento.

Em uma visão macro a promulgação da lei põe o Brasil no rol de mais de 100 países que poderiam ser considerados adequados para proteger a privacidade e o uso de dados. Essa é uma sinalização positiva e mostra a preocupação do governo em lidar de forma responsável na prevenção de eventos de vazamento de dados em massa noticiados na mídia internacional.

A LGPD terá entre seus principais desafios a missão de conscientizar a sociedade de que “dado pessoal” é um bem de valor que deve ser protegido, sob pena de trazer prejuízos ao indivíduo se for utilizado indevidamente e para fins diferentes do que foi consentido pelo titular, ou seja uma mudança de “mind set”.

Outro ponto é o tempo de adequação das empresas à lei, em princípio fixado para fevereiro/2020, o que é um prazo bem curto, considerando todos os ajustes que as empresas terão de fazer em seus sistemas internos e procedimentos.

A lei oferece múltiplos benefícios, e entre os beneficiários está o titular do dado pessoal, que é ponto focal da Lei. A LGPD traz especial relevância no que se refere à transparência para o uso de dados pessoais, à compatibilização do uso destes com as finalidades informadas e a respectiva responsabilização do agente que os coleta. De forma resumida, significa limitar o uso das informações ao mínimo necessário para que se possa atingir a finalidade pretendida, além de garantir a eliminação dos dados depois de atingida tal finalidade.

Caso a empresa descumpra a lei, ela sofrerá penalidades que incluem: (i) advertência, (ii) publicitação da infração e (iii) multa que pode chegar até 2% do faturamento bruto da empresa, limitada no total de R$ 50 milhões, por infração.

Autor: Sergio Maia,  gerente de assuntos regulatórios da Hughes.

Por RPMA Comunicação