ANPD – Infra News Telecom https://www.infranewstelecom.com.br A Infra News Telecom é um canal de comunicação para os profissionais de tecnologia da informação e de telecomunicações. Aborda as tendências e as mais modernas soluções para a construção, implantação e operação da infraestrutura de rede e TI, tanto no mercado corporativo como de operadoras e provedores de serviços. Mon, 29 Mar 2021 18:13:18 +0000 pt-BR hourly 1 https://wordpress.org/?v=6.8.5 https://www.infranewstelecom.com.br/wp-content/uploads/2020/02/cropped-infra-news-telecom-icone-do-site-32x32.jpg ANPD – Infra News Telecom https://www.infranewstelecom.com.br 32 32 Abranet propõe notificação de incidentes de segurança à ANPD só em casos de alta relevância https://www.infranewstelecom.com.br/abranet-propoe-notificacao-de-incidentes-de-seguranca-a-anpd-so-em-casos-de-alta-relevancia/?utm_source=rss&utm_medium=rss&utm_campaign=abranet-propoe-notificacao-de-incidentes-de-seguranca-a-anpd-so-em-casos-de-alta-relevancia Fri, 26 Mar 2021 20:39:55 +0000 https://www.infranewstelecom.com.br/?p=12674
ANPD
Foto: Pixabay

Abranet propõe notificação de incidentes de segurança à ANPD só em casos de alta relevância

Redação, Infra News Telecom

  A Abranet – Associação Brasileira de Internet encaminhou para a ANPD – Autoridade Nacional de Proteção de Dados suas contribuições referentes à tomada de subsídios na regulamentação de alguns tópicos da LGPD – Lei Geral de Proteção de Dados. No documento, a entidade propõe que os incidentes de segurança sejam divididos em três níveis, conforme os riscos e potencial de danos, além de apontar quais casos deveriam ser isentos da notificação obrigatória, entre outras sugestões.

  Para a Abranet, a notificação à ANPD e aos titulares dos dados só seria obrigatória quando houvesse incidentes considerados de alta relevância. Nesse caso, o incidente teria que possibilitar a identificação dos titulares, tais como nome, CPF, RG e endereço; ou envolver dados sensíveis que não estejam mascarados e que sejam passíveis de associação a seus titulares (ambos independentemente da porcentagem de dados afetados na base do controlador); ou ainda envolver informações que correspondam a mais de 50% da base de dados.

  Os casos de baixa e média relevância estariam dispensados da notificação. Segundo a associação, são considerados baixa relevância incidentes cujos dados, isoladamente, não possibilitem a identificação dos titulares; dados mascarados ou criptografados; e dados que correspondam a 30% ou menos da base de dados do controlador. Já casos média relevância incluem incidentes que não possibilitem a identificação do titular e os dados que correspondam de 30% a 50% da base de dados.

  No documento, a Abranet ainda propõe que o incidente de segurança não seja considerado relevante quando houver casos de phishing ou compartilhamento de senhas, uma vez que os cuidados com as credenciais de acesso são de responsabilidade do titular e não do controlador. O mesmo se aplicaria no caso de o titular usar a mesma credencial para vários serviços/produtos e ocorrer o vazamento dela.

  Outra questão é a diferenciação entre risco e dano. “Para que seja considerado dano ao titular é necessário que dano material ou moral tenha de fato ocorrido ao titular dos dados. Enquanto nenhum dano de fato ocorrer, seria classificado como risco.” Exemplo: havendo vazamento de nome, CPF e RG do titular, o incidente entrará na categoria de “risco” até que o titular seja afetado, como, por exemplo, com a tentativa ou realização de fraude financeira e/ou roubo de identidade.

  A Abranet também sugere algumas metodologias já consagradas para mensurar e avaliar os riscos e danos: ISO 27001, CERTs, CSIRTs, FIRST, IRM, FAIR e OCTAVE.  Sobre o prazo para notificação, a proposta é que seja feita em até cinco dias, tanto para a ANPD como para os titulares dos dados. Sempre que possível, o incidente deve ser comunicado diretamente ao titular, salvo aqueles que envolvam dados de milhões de usuários. Nesse caso, a comunicação poderia ser pública.

]]> LGPD: Preocupação ou oportunidade? https://www.infranewstelecom.com.br/lgpd-preocupacao-ou-oportunidade/?utm_source=rss&utm_medium=rss&utm_campaign=lgpd-preocupacao-ou-oportunidade Thu, 27 Aug 2020 19:47:38 +0000 https://www.infranewstelecom.com.br/?p=9964
LGPD

OPINIÃO

LGPD: Preocupação ou oportunidade?

Longinus Timochenco, CISO – Chief Information Security Officer e diretor de governança corporativa na KaBuM!

Qual é a novidade e por que a surpresa?

 

  Caros leitores, independente de preocupação ou oportunidade o nosso tempo está acabando para discussão e devemos transformar em “atitude a privacidade digital”.

  A tentativa de prorrogar a vigência da LGPD não é nova, por isso a entrada em vigor da lei não deveria causar espanto. O ponto é que, infelizmente, temos a cultura de sempre esperar uma “força maior” para iniciar algo, mesmo sabendo que proteção de dados é uma carência do nosso mercado e um caminho sem volta, uma vez que continuaremos a nos relacionar no comércio exterior “GDPR”, além de uma oportunidade para combater as fraudes e diversos crimes digitais. Várias empresas já iniciaram o processo de adequação, mas a maioria ainda está esperando para ver se “essa lei vai pegar”. Agora correria é para todos!

  Tenho duas visões sobre o tema, “pessimista e otimista”:

Pessimista

  • O mercado nacional está num nível muito baixo de maturidade em toda as esferas para a maior aderência das boas práticas. Minha recomendação é trabalhar fortemente na educação, formação e certificação dos profissionais.
  • Infraestruturas físicas e lógicas ineficientes para atender a LGPD.
  • Ausência de criação da ANPD – Autoridade Nacional de Proteção de Dados.

Otimista

  • Oportunidade de se diferenciar, crescer e buscar maior retorno em produtos e serviços.
  • A comercialização de banco de dados inadequados (mercado clandestino) está com seus dias contatos.
  • O cidadão no futuro próximo será dono de suas informações.
  • Surgimento de novas indústrias, profissões, mercado e regulamentação de transações de dados, com transparência e honestidade.
  • Órgão para regulamentação maduro e bem estruturado no futuro próximo “ANPD”.

  A retenção e o tratamento de dados pessoais dependem de relações de transparência, honestidade e lealdade. Estar em conformidade com as Leis é obrigação de todos, mas encontrar um viés para fazer com que nossas empresas cresçam é ainda mais importante e diferenciado.

  Em um mundo em transformação digital, temos que estar atentos às oportunidades que surgem em formas distintas das tradicionais. Não esperem, façam a diferença com a “educação digital”, respeitando o próximo.

  Trabalhem forte, pois isso é só o começo para um novo e prospero futuro, para quem fizer o dever de casa adequadamente. Acreditem, mudem e transformem para inovar.

]]> A lei de proteção de dados https://www.infranewstelecom.com.br/a-lei-de-protecao-de-dados/?utm_source=rss&utm_medium=rss&utm_campaign=a-lei-de-protecao-de-dados Mon, 03 Sep 2018 16:15:46 +0000 https://www.infranewstelecom.com.br/?p=3074

A lei de proteção de dados

Longinus Timochenco, da Stefanini Rafael

  Mesmo com o veto do presidente Michel Temer à criação da Autoridade Nacional de Proteção de Dados (ANPD), a aprovação da lei que define regras para a proteção de dados pessoais representa um avanço para o Brasil, pois revela amadurecimento e sintonia com o que vem acontecendo no restante do mundo, como a implementação do Regulamento Geral sobre a Proteção de Dados (GDPR), um rigoroso conjunto de normas sobre privacidade válido para a União Europeia, mas que também envolve pessoas de outras partes do mundo.

  A exemplo do GDPR, a lei de proteção de dados, sancionada recentemente, prevê que o consumidor dê o consentimento para a utilização de seus dados. Caso não queira que suas informações sejam mantidas por uma determinada empresa, a mesma terá que retirá-las do sistema, atendendo às regras de compliance. Caso contrário, a organização poderá sofrer penalidades.

  A lei estabelece que organizações públicas e privadas, bem como pessoais físicas, só poderão coletar dados pessoais, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, se tiverem consentimento do titular. Para garantir transparência, a solicitação deverá ser feita de forma clara para que o usuário do serviço digital saiba exatamente o objetivo da coleta e se haverá compartilhamento das informações.

  Num mundo cada vez mais digital, nossas vidas se tornaram mais expostas, viabilizando uma série de vulnerabilidades para o crime cibernético organizado. A lei de proteção de dados é um passo importante para minimizar ataques, fraudes e garantir a integridade das informações. Ou seja, que os dados sejam utilizados corretamente, de maneira segura, para preservar pessoas físicas e jurídicas.

  A mudança será um estímulo para que as empresas invistam em iniciativas para educar, adequar-se e respeitar as novas regras. Hoje é comum que cada corporação determine suas próprias normas. Com a nova lei, inicia-se uma jornada com navegaremos com mais controle e segurança, tendo o consumidor no centro.

  Sabemos que a mudança assusta e que pode ter um impacto inicial considerável, mas precisamos ter consciência de que a lei de proteção de dados abre caminho para um modelo padronizado de transações, com a vantagem de priorizar a concordância bilateral, que também democratiza as relações.

  Em casos indevidos de vazamentos e falhas de informações, os mesmos devem ser comunicados, o mais rápido possível, às autoridades competentes, que deverão tomar as providências necessárias, de acordo com cada situação.

  A transformação prevê um processo educativo sistemático, que certamente contribuirá para a maturidade do mercado brasileiro, viabilizando um crescimento inteligente, que acompanhe o desenvolvimento tecnológico sem engessar as relações. Se a lei ainda é incompleta, pelo menos estabelece uma cultura de proteção de dados em que todos têm muito mais a ganhar do que perder.

]]>