Os convites para variados tipos de cerimônias trazem informações fundamentais para aqueles que comparecerão: data, horário, local e alguns outros detalhes. Certos convites trazem ainda um item extra: o traje. Sem o traje adequado, combinado, solicitado, o convidado não poderá participar da cerimônia. É essa, fundamentalmente, a natureza daquilo que chamamos de “conformidade”, ou “compliance” como se diz na linguagem corporativa. É preciso atender às condições estabelecidas por uma regra, uma ordem ou mesmo uma lei para não sofrer uma penalidade. Boa parte dos gestores de TI passou a ter familiaridade com a “conformidade” quando, entrou em vigor no Brasil, a LGPD, a nossa Lei Geral de Proteção de Dados Pessoais.
A falta de conformidade com ela pode custar caro às empresas. Nesse caso, conformidade significa seguir as orientações da lei para coleta, uso e armazenamento de dados pessoais, que podem estar vinculados a um indivíduo identificado ou identificável. A lei também trouxe proteção para dados sensíveis, que estão relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Como sua origem racial ou étnica, sua convicção religiosa, sua opinião política, sua genética e até seus dados biométricos, por exemplo.
Dados são a nova riqueza
Nesta era digital, dados pessoais e metadados sobre atividades humanas representam matéria prima e riqueza não só para empresas de marketing como também para os cibercriminosos. Até que essa lei entrasse em vigor, coletar, usar e guardar dados de pessoas não exigia, no Brasil, o cumprimento de nenhuma regra. Desde o início da década de 2010, já estava claro, que esse era um assunto que exigia atenção e cuidado imediatos. A iniciativa mais notável foi da União Europeia, que em 2018 colocou em vigor a General Data Protection Regulation, sua lei de proteção de dados. Por causa disso, o Brasil e outros países acabaram acelerando a preparação de suas leis.
Nos anos anteriores, empresas brasileiras de qualquer setor econômico podiam coletar, usar e armazenar dados pessoais sem grandes cuidados. Mas os atores de ameaças do crime cibernético mostraram que isso precisava mudar. Centenas de invasões de servidores e de vazamentos de dados na dark web mostraram que havia falta de segurança nas três atividades. Muitos indivíduos tiveram seus dados usados para abrir contas bancárias, empresas e outros tipos de cadastro. As vítimas foram comprometidas com falsos empréstimos, compras que elas nunca fizeram e outros tipos de fraudes.
Mesmo sem estatísticas oficiais sobre o assunto, o Brasil sempre aparece nos estudos sobre ataques cibernéticos e vazamentos. Indicando o grau de risco ao qual estão sujeitas todas as empresas, e não apenas aquelas que manipulam dados pessoais. Até que a LGPD entrasse em vigor, um ataque cibernético com vazamento de dados poderia parar na Justiça a pedido de uma vítima, é claro. Mas nenhuma lei obrigava as empresas a se protegerem desses ataques e fazerem o mesmo com os dados. Como também não havia penalidade para aquelas que não fizessem isso. Mas a LGPD mudou tudo.
Sequestro de dados
Durante o ano de 2019, pesquisadores de segurança brasileiros observaram muitos roubos de dados que acabavam não sendo anunciados. Segundo opinião deles, isso poderia indicar que os criminosos estavam guardando aqueles dados para chantagear as empresas depois que a lei entrasse em vigor no ano seguinte. Preferindo pagar os bandidos do que a pesada multa do regulador, a Agência Nacional de Proteção de Dados. Embora não tenha ocorrido nenhum fato que comprove essa hipótese, ela era bastante viável. Para as empresas infratoras, a LGPD tem multas que podem ser simples ou diárias. Sendo aplicado um valor permanente a cada dia que a infração persista. São multas que podem alcançar até 2% do faturamento do grupo econômico ao qual a empresa pertence, podendo chegar a um máximo de R$ 50 milhões.
A ameaça dessas penalidades e o risco da perda de reputação nos incidentes e vazamentos colocou diante das empresas brasileiras a necessidade de alcançar com urgência maturidade em segurança cibernética. Primeiramente, alcançar maturidade não significa adquirir um serviço ou instalar um processo. Na verdade, é uma jornada que tem um objetivo a ser alcançado e depois mantido. Por outro lado, nesse trajeto, as empresas precisam adotar várias estratégias, que incluem desde o treinamento de funcionários até a criação e estabelecimento de políticas de privacidade robustas.
Maturidade nas grandes e médias empresas
Para cumprir essa jornada, as grandes e médias empresas investem tempo, dinheiro e outros recursos. Uma das razões para isso é que os departamentos jurídicos de cada uma alertaram diretorias, conselhos e equipes de tecnologia da informação para os riscos de não adotarem as medidas necessárias para alcançar a conformidade com a lei. Embora muita gente não saiba, alcançar a conformidade com a LGPD não implica criar uma segurança à prova de balas para os dados. Até porque não existe segurança e 100% para absolutamente nada. No entanto, ao alcançar a conformidade a empresa poderá demonstrar, finalmente, que fez o que estava ao seu alcance para proteger os dados pessoais e sensíveis que estão sob a sua guarda.
Embora muita gente não saiba, alcançar a conformidade com a LGPD não quer dizer que tenha sido criada uma segurança à prova de balas para os dados. Até porque não existe segurança e 100% para absolutamente nada. No entanto, ao alcançar a conformidade a empresa poderá demonstrar, finalmente, que fez o que estava ao seu alcance para proteger os dados pessoais e sensíveis que estão sob a sua guarda.
Gostou do conteúdo? Acesse nosso blog e descubra mais!