Entenda mais sobre a lei que poderá multar sua companhia em até R$50MI por infração cometida
Por: Fernanda Cocelli
O avanço cada vez mais rápido das tecnologias aumentou a necessidade das empresas voltarem seus olhares para a segurança da informação. Em 2014, o Marco Civil da Internet foi um dos primeiros passos para que a justiça olhasse para a privacidade e a segurança das pessoas no mundo on-line. Em 2018, foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), que trouxe um olhar atento e cuidadoso em relação aos dados das pessoas físicas como consumidores, colaboradores, fornecedores e população de modo geral.
A LGPD entrou em vigor em agosto de 2020, porém, as empresas ganharam mais um ano para se adaptar, sem sofrer punições na esfera administrativa. A partir de agora, em caso de possíveis infrações às regras estabelecidas pela legislação, penalidades serão aplicadas, desde uma advertência até a cobrança de multa, que pode chegar a 2% do faturamento da pessoa jurídica ou grupo econômico responsável, limitado a R$ 50 milhões por irregularidade.
A regulamentação abrange todos os setores e serviços e entrar em conformidade é um processo complexo. A lei parte de princípios fundamentais como da segurança, da prevenção, da responsabilização e da prestação de contas. É uma regra que engloba termos de uso e outros aspectos jurídicos, mapeamento de dados e outros processos (desde de treinamento até como descartar um dado físico), e a tecnologia. Em um mundo que está ainda mais digital, a tecnologia precisa de uma atenção especial.
Neste cenário, é essencial que as empresas tenham uma equipe de tecnologia preparada para aplicar as melhorias para estar em conformidade com a LGPD, e é exatamente essa uma das principais dificuldades do mercado: especialistas em cibersegurança. Essa área é muito técnica – profissionais precisam de anos para se tornarem especialistas – e houve um grande aumento da demanda com o crescimento da transformação digital e da promulgação de leis de proteção de dados.
Com a pandemia, o uso de nuvem pública cresceu exponencialmente no Brasil e no mundo e, com isso, as companhias estão com milhares de recursos a mais em nuvem, muitos deles com informações pessoais ou sensíveis.
Quando falamos em práticas para que a nuvem esteja em conformidade com a LGPD precisamos aplicar o princípio do mínimo acesso, no qual apenas as pessoas essenciais possuem permissão para acessar o documento ou arquivo em questão. Pensando nisso, as empresas devem implementar medidas para evitar acessos não autorizados, como política de portas para serviços com dados sensíveis, encriptação e backup de banco de informações e armazenamento e política de senhas fortes com uso de duplo fator de autenticação.
Outra recomendação é usar os serviços de monitoramento e logs disponibilizados pelos provedores de nuvem para ajudar e facilitar a identificação de exposição indevida de recursos, análises de auditoria, reconhecer configurações incorretas de segurança e ameaças ou comportamentos inesperados. Outro ponto é criar alarmes para quando houver mudanças nas configurações dos recursos para prevenir acesso a dados desprotegidos ou outras violações de segurança.
No mercado é possível encontrar muitas soluções de cibersegurança, desde avaliação de políticas de conformidade, como a LGPD, monitoramento e classificação de ativos, respostas a incidentes e identificação e resposta a incidentes, que automatizam e aceleram os processos de mitigação de riscos. São produtos que podem e devem ser utilizados, principalmente neste mundo em que a reputação junto a parceiros e clientes vale ainda mais que o valor da multa por não conformidade.