Segundo dados da última Pesquisa Nacional por Amostra de Domicílios Contínua (Pnad C) do IBGE, o Brasil tinha em 2016 cerca de 116 milhões (cerca de 65%) de pessoas conectadas à internet e novas estimativas indicam cerca de 180 milhões (cerca de 80%) nos dias de hoje. Grande parte deste acesso é feito através de aplicativos e páginas que coletam, armazenam e utilizam dados pessoais.
A Lei 13.709 de 14 de agosto de 2018, chamada Lei Geral de Proteção de Dados (LGPD), é um novo marco legal brasileiro e resumidamente dispõe sobre tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, com objetivo de proteger direitos fundamentais de liberdade e de privacidade das pessoas.
Algumas considerações importantes sobre a lei:
1) A lei aplica-se quando a coleta e operação de tratamento dos dados sejam realizadas no território nacional, independente onde os dados sejam armazenados;
2) A lei protege e considera dado pessoal: informação relacionada a pessoa identificada ou identificável;
3) A lei protege e considera dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, dado referente à saúde e dado biométrico;
4) A lei define alguns entes tais como: “controlador”, pessoa natural ou jurídica de direito público ou privado a quem competem as decisões referentes ao tratamento de dados pessoais; “operador”, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; “encarregado (DPO)”, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
5) A lei também define os importantes conceitos de “anonimização” e “consentimento”;
6) Por fim, em razão das infrações cometidas ficam sujeitos às seguintes sanções aplicáveis pela autoridade nacional: i) advertência, com indicação de prazo para adoção de medidas corretiras; ii) multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$ 50 milhões. Além disso, as empresas podem ter suas atividades suspensas, parcial ou totalmente.
Inicialmente prevista para entrar em vigor em agosto de 2020 a lei tem sofrido sucessivas alterações e a mais recente dispõe que a nova data de início será em 3 de maio de 2021. Ainda há outros pontos dependendo de regulamentações, como a criação da ANPD.
Nós da LOGICAL IT, como empresa de soluções com foco em Segurança Cibernética e de Informações, consideramos que para atendimento aos requisitos da LGPD é preciso um planejamento de curto, médio e longo prazo, com a elaboração de um “roadmap” faseado com base em levantamentos e análises de prioridades e capacidades de investimentos, sempre com base nos impactos ao negócio.
Quanto as prioridades, algumas disciplinas devem estar no radar das empresas para avaliarem urgentemente:
• Proteção e privacidade de dados: para dificultar as brechas e perdas de vazamento de dados pessoais. Neste aspecto entram avaliações de projetos voltados para soluções de DLP, Firewalls de BD, Data Mapping, Encriptação e Tokenização de Dados;
• Proteção de endpoints, datacenters, redes e nuvem: Para garantir a inspeção e testes do tráfego (para internet, emails, uso de nuvem etc.) para identificar possíveis ameaças com consequente bloqueio de ataques que possam comprometer os ativos onde constam os dados pessoais. No âmbito destes projetos incluem soluções de Antimalwares, Anti APT, Firewalls, Proxys, Casb, IDS/IPS, VPNs, SandBox.
• Gestão de vulnerabilidades baseada em riscos: como importante medida preventiva para garantir a real visibilidade e os controles relacionados com as vulnerabilidades conhecidas exploráveis. Deve ter abrangência ampla prevendo descobertas (“scans”) de infraestrutura (redes, endpoints, servers, outros ativos) além de aplicações (apps, containers, APIs). No tocante a estas disciplinas recomendamos projetos envolvendo tecnologias de gestão de vulnerabilidades (inventários, scans, virtual patches), soluções de avaliação de Apps (testes estáticos e dinâmicos) integrados na esteira DevOps, além da camada de proteção por soluções de WAFs;
• Monitoração e resposta a incidentes: para garantir a rápida identificação de ataques causadores de incidentes de vazamento de dados para conter e responder evitando maiores impactos aos titulares dos dados. Neste quesito a comunicação das ações de investigação e resposta para as autoridades e para os titulares, certamente serão fatores preponderantes para minimizar as penalidades. Neste aspecto entram necessidades voltadas para projetos de SIEM e Operações de SOC/MSS e Inteligência de Ameaças;
A LOGICAL IT sempre estará a disposição das empresas, com seu time especializado, para contribuir nos projetos com foco em atendimento aos requisitos da LGPD. De forma consultiva ou mesmo pela de soluções e serviços que enderecem as principais lacunas dos clientes.