GDPR – Infra News Telecom

Evento sobre cibersegurança acontecerá on-line

Simone Rodrigues — Tue, 22 Sep 2020 20:58:35 +0000

Evento sobre cibersegurança acontecerá on-line

Redação, Infra News Telecom

O Cyber Security Summit Brasil 2020, evento sobre cibersegurança, acontecerá no dia 29 de setembro de forma on-line e gratuita.

A quarta edição do encontro contará com mais 30 speakers e deve reunir mais de 4 mil participantes. Na lista de patrocinadores estão empresas como Globo, OpenText, nCipher, Gigamon, Darktrace, NPO Sistemas do Brasil, KnowBe4, GlobalSign, CeCyber, Logicalis e Clamapi Seguros Cibernéticos.

“Esta edição do Cyber Security Summit Brasil foi planejada pensando na situação que o mundo está vivendo. Vamos trazer assuntos que são fundamentais para este momento forçado de aceleração da transformação digital, mas também vamos abordar questões relacionadas ao vazamento de dados, tecnologias emergentes e outras novidades”, comenta o idealizador do evento, Rafael Narezzi.

Entre os speakers confirmados está Sandro Süffert, chairman da Apura Cyber Intelligence. Com mais de duas décadas de experiência em forense computacional e resposta a incidentes, o tema abordado por Süffert levará aos participantes uma visão prática do que acontece quando as defesas cibernéticas falham, como aprender com ataques reais e como monitorar ameaças aos negócios em ambiente digital.

O pesquisador PhD da Universidade de Wolverhampton e ex-analista de cibersegurança da FAB – Força Aérea Brasileira, Rafael Salema, também teve a participação confirmada. De acordo com as informações divulgadas, o especialista em inteligência em ameaças cibernéticas, abordará aspectos técnicos sobre direct syscalls de forma simples e didática.

Outro nome presente na lista é o do diretor jurídico do conselho Europeu de Proteção de Dados, Michal Czerniawski, que traz como tema de sua palestra “Proteção de dados na Europa: o GDPR e o EDPB”.

Para mais informações, acesse o site https://www.cybersecuritysummit.com.br/.

LGPD: Preocupação ou oportunidade?

Simone Rodrigues — Thu, 27 Aug 2020 19:47:38 +0000

OPINIÃO

LGPD: Preocupação ou oportunidade?

Longinus Timochenco, CISO – Chief Information Security Officer e diretor de governança corporativa na KaBuM!

Qual é a novidade e por que a surpresa?

Caros leitores, independente de preocupação ou oportunidade o nosso tempo está acabando para discussão e devemos transformar em “atitude a privacidade digital”.

A tentativa de prorrogar a vigência da LGPD não é nova, por isso a entrada em vigor da lei não deveria causar espanto. O ponto é que, infelizmente, temos a cultura de sempre esperar uma “força maior” para iniciar algo, mesmo sabendo que proteção de dados é uma carência do nosso mercado e um caminho sem volta, uma vez que continuaremos a nos relacionar no comércio exterior “GDPR”, além de uma oportunidade para combater as fraudes e diversos crimes digitais. Várias empresas já iniciaram o processo de adequação, mas a maioria ainda está esperando para ver se “essa lei vai pegar”. Agora correria é para todos!

Tenho duas visões sobre o tema, “pessimista e otimista”:

Pessimista

O mercado nacional está num nível muito baixo de maturidade em toda as esferas para a maior aderência das boas práticas. Minha recomendação é trabalhar fortemente na educação, formação e certificação dos profissionais.
Infraestruturas físicas e lógicas ineficientes para atender a LGPD.
Ausência de criação da ANPD – Autoridade Nacional de Proteção de Dados.

Otimista

Oportunidade de se diferenciar, crescer e buscar maior retorno em produtos e serviços.
A comercialização de banco de dados inadequados (mercado clandestino) está com seus dias contatos.
O cidadão no futuro próximo será dono de suas informações.
Surgimento de novas indústrias, profissões, mercado e regulamentação de transações de dados, com transparência e honestidade.
Órgão para regulamentação maduro e bem estruturado no futuro próximo “ANPD”.

A retenção e o tratamento de dados pessoais dependem de relações de transparência, honestidade e lealdade. Estar em conformidade com as Leis é obrigação de todos, mas encontrar um viés para fazer com que nossas empresas cresçam é ainda mais importante e diferenciado.

Em um mundo em transformação digital, temos que estar atentos às oportunidades que surgem em formas distintas das tradicionais. Não esperem, façam a diferença com a “educação digital”, respeitando o próximo.

Trabalhem forte, pois isso é só o começo para um novo e prospero futuro, para quem fizer o dever de casa adequadamente. Acreditem, mudem e transformem para inovar.

LGPD e a segurança da informação

Gisele Kauer — Tue, 18 Aug 2020 18:47:51 +0000

LGPD e a segurança da informação

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

A LGPD – Lei Geral de Proteção de Dados, como o próprio nome sugere, tem uma abordagem exclusivamente voltada à proteção de dados pessoais, ou seja, a operações de tratamento (processamento) de informações relacionadas a pessoa natural (pessoa natural = pessoa física, ser humano, não pode ser empresa) identificada ou identificável (definição de “dado pessoal” dada pelo art. 5º, I, da LGPD).

Este foco específico da lei é excelente, pois traz uma proteção ao indivíduo que é assegurada na Constituição Federal: nosso direito fundamental à privacidade (art. 5º, X, Constituição Federal, que diz respeito à inviolabilidade da intimidade e da vida privada).

Mas, a proteção de dados só é verdadeiramente efetiva quando vem acompanhada de segurança da informação que, muitas vezes, é deixada de lado, não somente no texto da lei em si (a LGPD até fala sobre segurança da informação, porém de maneira consideravelmente superficial, e não suficientemente objetiva/específica), mas também pelas empresas e órgãos públicos que, por tantas vezes, vão em busca da adequação jurídica em proteção de dados, mas “se esquecem” da elaboração de um sistema adequado de segurança da informação (algo que diga respeito a um nível adequado de governança, com regras e controles que façam sentido dentro da realidade da empresa – tamanho, modelo de negócio, tipo de produto ou serviço oferecido, vulnerabilidades específicas etc. – e que sejam efetivos na prática, e não somente “no papel”).

A proteção de dados não pode ser um elemento isolado. Ela deve fazer sentido em todo o contexto. E, neste artigo, você vai conhecer algo que pode (e deve) conversar com o seu programa de adequação à LGPD.

Proteção de dados x segurança da informação: Qual é a diferença? (Conceitos)

Bom, conforme mencionei acima, a proteção de dados tem por objeto proteger os dados relativos a pessoa natural, com um foco na privacidade, no direito à individualidade.

A título de curiosidade, esse conceito não é exclusivo da LGPD. É o mesmo adotado no GDPR – Regulamento Geral sobre a Proteção de Dados, da União Europeia [Artigo 4º (“Definições”), (1), página 33 no link acima], bem como pelo NIST – National Institute of Standards and Technology, dos EUA, como se fosse o “Inmetro” norte-americano, que traz padrões de qualidade especialmente voltados à tecnologia e ciência – padrões adotados inclusive pelo FBI. Vocês podem verificar a definição de “personally identifiable information” neste link aqui, que é o glossário do NIST.

Já a segurança da informação não se limita à proteção de dados pessoais. Vamos à definição:

“Segurança da Informação compreende a proteção das informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, com o objetivo de reduzir a probabilidade e o impacto de incidentes de segurança”.

“Nem todo incidente de segurança da informação é uma violação de dados pessoais. Mas toda violação de dados pessoais é um incidente de segurança”. Guardem esta informação.

Os infográficos a seguir irão nos ajudar na identificação das formas mais efetivas de prevenção e resposta a ataques envolvendo a exploração de vulnerabilidades – e até a compreender porque a LGPD, sozinha, não necessariamente diz respeito à prevenção de incidentes de segurança (estes que podem resultar, como consequência, em violações à LGPD).

Segurança da informação: Vulnerabilidade, ameaça, risco, incidente, dano

Para falarmos na prevenção a qualquer tipo de incidente de segurança (seja ele proposital ou acidental) precisamos identificar estes 5 itens: vulnerabilidade; ameaça; risco; incidente; e dano. Ou seja, entender “o que é o que” na situação concreta que estamos analisando.

Recomendo olharem no infográfico após a leitura de cada item, para entenderem visualmente como eles se integram.

1 – Vulnerabilidade: É a “porta aberta” na empresa, no sistema, aquilo que deve ser protegido. A ISO 27000 (a norma internacional referência em gerenciamento de segurança da informação) usa a palavra “fraqueza” (“weakness”) para definir “vulnerabilidade”. Uma fraqueza (em determinado controle ou ativo) que pode ser explorada por uma ou mais ameaças – definição baseada na ISO 27000.

Vale dizer que a vulnerabilidade é sempre interna (do próprio sistema, empresa, site, aplicativo, etc.). É realmente como deixar uma porta destrancada – deixar a chave da porta com pessoas não confiáveis.

2 – Ameaça: Uma potencial causa de um incidente indesejado, que pode resultar em danos a um sistema ou organização – definição baseada na ISO 27000.

Geralmente, ameaça conta com um “agente de ameaça”, aquele que se aproveita de uma vulnerabilidade (conforme mostra o infográfico abaixo, que se aproveita da “porta aberta”).

3 – Risco: É a probabilidade de uma ameaça (ou agente de ameaça) “explorar” determinada vulnerabilidade – definição baseada na ISO 27000. Por exemplo, qual é a chance de um determinado tipo de malware afetar o sistema X? É um “cálculo” de probabilidades, basicamente.

Os riscos devem ser “metrificados”. Assim, é possível priorizar em quais ameaças focar e quais vulnerabilidades estão realmente suscetíveis a ataques, por exemplo.

4 – Incidente: É quando uma ameaça se manifesta. Por exemplo, quando um cracker explora formas de adentrar um sistema.

Incidentes são eventos indesejados ou inesperados, que têm uma chance (risco) significativa de comprometer o sistema, site, empresa, etc. – definição baseada na ISO 27000.

5 – Danos: Por fim, os danos são as possíveis consequências de um incidente, exatamente as consequências que desejamos evitar.

Os danos podem ser diretos (como a indisponibilidade de um e-commerce ou um acesso a informações confidenciais de uma empresa) e Indiretos (como a queda das ações da empresa na bolsa de valores ou perda de clientes).

É importante lembrar que, mesmo que a sua casa/apartamento tenha grade, portão, portaria 24h, câmeras de segurança, ainda é possível que uma pessoa mal-intencionada entre, certo?

O mesmo ocorre com sistemas. Por isso, estamos falando em prevenção, e não em impossibilitar ataques, blindar sistemas, impedir fraudes. Não existe 100% quando falamos de segurança. Lembre-se disso.

Quando analisarmos o caso concreto a seguir o primeiro passo será identificar quais são as vulnerabilidades encontradas em determinado servidor ou sistema operacional, ou seja, quais portas estão abertas. E assim por diante, identificando cada um dos cinco itens que foram listados acima, para então chegar numa resposta (ou quase isso) sobre as melhores formas de prevenção

Muitas vezes focamos na ação (que é bem importante, é claro), mas a análise do objeto a ser protegido + identificação das vulnerabilidades são necessárias para que a ação (prevenção) seja efetiva.

Pensar na ação sem antes analisar o cenário como um todo pode resultar numa escolha de ações de prevenção inadequadas, insuficientes ou não efetivas em relação às vulnerabilidades e ameaças que colocam em risco o objeto que queremos proteger.

O exemplo pode parecer um tanto exagerado (e “bizarro”), mas tenho certeza que vocês irão lembrar dele por muito tempo (e quem sabe utilizem em aulas e palestras futuramente, ou até mesmo para explicar para um cliente ou na empresa de vocês que segurança não é sobre “usar aquele antivírus que todo mundo está usando” ou “procurar no Google “Política de Segurança da Informação’ e usar um modelo genérico”).

Bom, a seguir, vocês verão dois infográficos com exemplos um tanto “familiares” da segurança da informação.

Penso que concordamos que, em ambos os casos, há uma ou mais formas de evitar a concretização do incidente, certo? Vocês talvez tenham pensado em outros mecanismos de defesa/prevenção, mas, para fins didáticos irei focar nas seguintes ideias:

Tanto no exemplo 1 quanto no 2, um backup atualizado e mantido em outro local físico poderia garantir uma recuperação em relação aos incidentes. Portanto, em ambos os exemplos seria um mecanismo efetivo que deve ser adotado.

Mas, a recuperação por meio de um backup, infelizmente, não é tão rápida como se imagina. Pode levar semanas até que um negócio volte a operar normalmente, ainda que com um backup realizado corretamente. Portanto, ainda que necessário e aplicável nos dois casos, existem formas de prevenção que podem ser aplicadas em momentos anteriores ao incidente.

Estas formas de prevenção devem ser focadas em: corrigir uma vulnerabilidade (ou seja, “diminuir” uma abertura que soe convidativa para determinadas ameaças); e afastar um tipo de ameaça específica de explorar as vulnerabilidades.

No exemplo 1, podemos falar em controles físicos, como portas corta fogo, por exemplo.

No exemplo 2, podemos falar em atualizações de software frequentes e, a depender do malware, de um firewall eficiente, por exemplo.

Agora, vamos ao meu exemplo “ridículo”! Mas que ajuda a visualizar a ideia e a usarmos essa lógica com mais facilidade em casos mais complexos:

No exemplo 1, uma firewall ou um update do software não faria muita diferença para prevenir um incêndio.

No exemplo 2, uma porta corta fogo não impediria um malware de acometer o sistema da empresa.

Essa foi a forma “caricata” que encontrei para expor um dos maiores problemas que temos hoje em questão de legislação específica e até mesmo dentro dos programas de segurança/governança (nos setores público e privado).

Governança é sobre “fazer regras” (“como algo deve ou não deve” ser feito, usado, executado, etc.), e essas regras se tornam um imenso problema quando quem as faz não compreende o objeto sobre o qual elas dizem respeito.

O resultado disso? Algo como procedimentos de segurança sugerindo uma instalação de antivírus para a proteção de um servidor (desconsiderando possíveis ameaças físicas, como um incêndio); ou uma política tratando um antivírus como solução para qualquer tipo de malware, desconsiderando as peculiaridades de cada subtipo de malware existentes – na realidade temos ataques como o WannaCry (ransomware), que se utilizou de uma brecha de segurança no Windows 10 e sua correção dependia da atualização do software para a correção da falha de segurança – nenhum antivírus poderia “segurar” o ataque.

Para concluir, um dos meus objetivos aqui foi demonstrar como é bem mais simples propor uma forma de prevenção com essa esquematização, com base na ISO 27001/27002, em matéria de segurança da informação e considerando o que falei logo no início: “Nem todo incidente de segurança da informação é uma violação de dados pessoais. Mas toda violação de dados pessoais é um incidente de segurança”. Este conhecimento é importante para a proteção dos dados pessoais na sua empresa, ou seja, para a adequação à LGPD ou outra legislação/regulamento de proteção de dados aplicável.

A minha mensagem com isso é: a atuação ideal é uma integração entre as áreas técnica e jurídica. Ambas são importantes, têm funções diferentes e, preferencialmente, devem coexistir para garantir um nível adequado de proteção de dados pessoais.

Espero que este artigo tenha sido útil para você. Até a próxima!

Curso para formação oficial EXIN de DPO com base no GDPR com 50% de desconto

Simone Rodrigues — Tue, 28 Apr 2020 20:16:13 +0000

Foto: Pixabay

Curso para formação oficial EXIN de DPO com base no GDPR com 50% de desconto

Redação, Infra News Telecom

Criado por Carlos Machado, instrutor credenciado pela EXIN para temas relacionados à privacidade e segurança da informação, o curso “EXIN PDPF: Privacy & Data Protection Foundation GDPR” trata sobre o GDPR – Regulamento Geral de Proteção de Dados, permitindo ao aluno, por exemplo, conhecer as definições válidas de privacidade, descrever o conceito de violações de dados e entender os fundamentos para o processamento/tratamento de dados e limitação de propósito.

Até o dia 2 de maio o curso, disponível na plataforma de educação a distância Udemy, pode ser adquirido com 50% de desconto, de R$ 159,99 por R$ 79,99. Já para matrículas realizadas até o dia 28 de abril, além do desconto, o aluno participará de dois sorteios: um voucher para o exame oficial da EXIN Privacy and Data Protection Foudantion (o voucher tem um custo médio de US$ 240); e um voucher para o curso que iremos lançar EXIN Privacy and Data Protection Practitioner ( a inscrição neste curso é estimada em R$ 1000).

O treinamento é composto por duas horas de práticas por meio de simulados, seguindo o estilo do exame oficial; mais de 60 questões; até 16 horas de aulas gravadas; exemplos práticos; e documentos auxiliares e complementares sobre o tema. Traz ainda exercícios com perguntas e respostas, além de canais para discussões abertas entre os alunos e o facilitador.

Inscrições e mais informações no link https://www.udemy.com/course/exin-pdpf/?couponCode=50A7OFF.

Falta pouco para a LGPD entrar em vigor e o ambiente corporativo continua confuso

Simone Rodrigues — Wed, 11 Mar 2020 17:09:48 +0000

Falta pouco para a LGPD entrar em vigor e o ambiente corporativo continua confuso

Enio Klein, CEO da Doxa Advisers, professor de pós-graduação na Business School SP, especialista em transformação digital, vendas, experiência do cliente e ambientes colaborativos

2020 é o ano da privacidade no Brasil. 16 de agosto, próximo, é o “dia D”, quando entraremos para o grupo de países que passam a ter regras claras para o uso de dados pessoais de seus cidadãos.

Falta pouco mais do que 180 dias para que a Lei Geral de Proteção de Dados, a LGPD, entre em vigor, e o que vemos é um ambiente confuso. Grande parte dos empresários, empreendedores ou executivos de organizações de todos os tamanhos ainda não têm a clareza do que precisam fazer em relação ao tema.

Aqueles que não desejam regras sobre o uso dos dados pessoais falam em adiamento, abrandamento ou outras formas de procrastinação, para que possam continuar a fazer o que estão fazendo, sem restrições ou formas de controle. Muitos de nós, a quem a lei protege, sequer sabe do que se trata a legislação. O governo, cuja responsabilidade é mediar à aplicação da lei, não cumpre a sua parte, e a “Autoridade Nacional de Proteção de Dados”, a quem caberá a regulamentação e a interpretação dos procedimentos estabelecidos pela legislação, não saiu do papel.

Sempre que o cenário é confuso e as diretrizes não são claras, prospera o ambiente ideal para as interpretações e para os oportunistas de plantão. Quanto mais perto do “dia D”, mais cuidado as organizações precisam ter, no sentido de encaminhar uma jornada de conformidade que lhes permitam cumprir, de uma forma mínima, a nova legislação neste primeiro momento, dentro das possibilidades e realidades de cada negócio.

Embora seja uma lei, a adequação à LGPD não é uma questão só para advogados. Da mesma forma, só porque uma das disciplinas envolvidas aqui seja segurança da informação ou tratamento de dados, também não significa que seja um assunto de TI. Nas organizações grandes, particularmente expostas e, supostamente, bem organizadas, o conflito parece resolvido, pois a cultura da governança e conformidade já é praticada e exigida. E quanto as outras, as médias e pequenas? Como sair desta encruzilhada?

Nos projetos em que tenho tido oportunidade de participar, vejo a frequente polarização entre o jurídico e a tecnologia da informação. Se, por um lado, a preocupação jurídica é se ater a interpretação da lei na organização, a TI se preocupa com os orçamentos e a possível necessidade de adquirir novas ferramentas, para fazer frente às necessidades que a lei venha a impor para a segurança da informação. Não existe razão única em nenhum dos polos. Não se trata de interpretar a lei para ter certeza de que todos os artigos e parágrafos estejam sendo cumpridos ou não, assim como não são as ferramentas tecnológicas que farão que as organizações atendam às práticas que a lei endereça. A LGPD se baseia em práticas de privacidade e proteção de dados, já há muito tempo estabelecidas e usadas em diversas regiões do mundo, assim como a europeia GDPR. Se essas forem cumpridas, provavelmente a legislação também o será.

O desafio a ser vencido é descobrir como o negócio irá se adequar para que as práticas de privacidade e proteção de dados sejam seguidas. Não se trata do direito e nem da tecnologia. Trata-se de um modelo de governança que estabeleça, da melhor forma possível, formas de como as práticas necessárias para a garantia da privacidade e proteção de dados sejam adotadas e executadas no dia a dia nos processos de negócio.

O papel do direito é validar o modelo de governança à luz da legislação para certificar de que que será suficiente. O da tecnologia, de garantir que infraestrutura, processos e ferramentas irão suportar os recursos necessários e suficientes para que os mecanismos de governança estabelecidos possam ser respeitados. Entre um e outro existe a continuidade do negócio, que é o verdadeiro objeto da adequação.

Sob o ponto de vista do negócio, é importante entender a razão da importância sobre o uso dos dados pessoais e como eles são usados na organização. Como falar em lei de proteção de dados sem entender a razão de negócio que leva uma organização a precisar usar dados pessoais? Como discutir finalidades e bases legais, sem levantar quais os ciclos das informações dentro da empresa e onde elas são usadas? Como proteger dados sem saber quais precisam ou não ser protegidos? Qual o intuito de proteger dados se não soubermos quais são realmente necessários ao negócio e quais não são?

Entendemos que a jornada da conformidade começa com o negócio, e não com a lei. Entender a necessidade do negócio em relação ao uso de dados pessoais irá determinar como cada um deles precisará desenvolver seus modelos de governança para torná-los conformes às melhores práticas e, consequentemente, aptos a atender a legislação. É o que a adequação significa. Começar pela lei e aplica-la simplesmente sobre o que a empresa está fazendo não é adequação. É preparar defesa em caso de problemas. Comprar ferramentas pelas funcionalidades e não para respaldar necessidades reais e identificadas, tampouco é adequar-se. É gastar dinheiro possivelmente à toa.

Ainda temos um longo caminho a percorrer até que a sociedade como um todo entenda a importância desse assunto. Ainda falta um pouco para que se entenda que a proteção de dados e privacidade não é uma disciplina do direito ou da tecnologia. Envolve o direito, envolve a TI, mas é uma disciplina de negócios que precisa permear as organizações em todos os seus níveis. Do mais alto executivo a cada um de seus funcionários. Adequar-se não é um fardo, mas um movimento rumo ao futuro e a competitividade.

Espionagem digital

Longinus Timochenco — Mon, 09 Mar 2020 16:50:13 +0000

Espionagem digital

Longinus Timochenco, CISO – Chief Information Security Officer e diretor de governança corporativa na KaBuM!

A cada dia buscamos maior comodidade, agilidade, integridade e disponibilidade de serviços e recursos, e a tecnologia está aí nos servindo muito bem, porém é importante estarmos atentos e sempre questionarmos a exposição das nossas vidas e o quanto realmente estamos seguros. Não devemos terceirizar a nossa responsabilidade.

Sabemos que “tudo” é amplamente digital, integrado e sem fronteiras. Temos observado, como exemplo, o quanto o coronavírus afetou o mundo dos negócios; o mesmo acontece no mundo virtual, impactando vidas e gerando a necessidade de pensarmos em sobrevivência e defesa de cibercrime e ciberguerra.

Olhando para esses casos, o cenário pode parecer assustador e apenas uma boa política de segurança da informação não é suficiente. Para que os sistemas de segurança sejam eficientes o treinamento é fundamental e ele deve ser atribuído a todos, desde o board, colaboradores, fornecedores e parceiros de negócios, com monitoramento e auditoria interna e externa, periodicamente.

Com segurança não podemos mais nos enganar: a conta chegará cada vez mais rápido, podendo acabar com o seu negócio e ocasionando prisões. Vamos juntos viver com qualidade, seguros e com as empresas operando com tranquilidade para garantir bons negócios com transparência e integridade aos nossos clientes e investidores: acreditem isso é possível.

Novas leis, como a LGPD e GDPR, surgem para garantir que as empresas tomem as medidas necessárias para resguardar os dados pessoais dos titulares. Por favor, parem de discutir se realmente essa “Lei vai pegar”; não façamos por obrigação e sim porque ações desse gênero serão sempre positivas para todos, além de ser ético e integro, provendo longevidade para as nossas empresas com visão empreendedora. O nosso país precisa crescer e merece ser visto como uma potência.

Um vazamento de informações pode causar a exposição não só da empresa, mas de clientes e dos negócios realizados entre as partes. A consequência é a confiabilidade da organização caindo vertiginosamente e abrindo margem até mesmo para processos judiciais. Por isso, há uma responsabilidade jurídica envolvida, principalmente se sua empresa lida com dados de clientes, como é o caso das lojas virtuais, por exemplo.

Precisamos ter em mente que não se trata apenas de vazar dados bancários e outras informações extremamente delicadas, como um nome e um e-mail; um cibercriminoso pode colocar em prática um plano de fraude, enviando mensagens em nome de sua empresa. Além disso, não são apenas hackers que podem usufruir dos dados roubados. A espionagem industrial, por exemplo, é um risco crescente em todo o mundo. Patentes e dados comerciais têm um valor financeiro real, tornando o sigilo indispensável.

Vamos falar com o público “pessoa física”

Culturalmente, no mundo digital há ainda uma distorção de entendimento entre as fronteiras do público e do privado e isso nos convida a sermos, ao mesmo tempo, controladores e controlados.

Estamos vivendo a “Era do Exibicionismo”. Somos submetidos a um constante apelo de “publicidade” coletiva, estimulados a anunciar espontânea e voluntariamente tudo o que se refere à vida privada, transformando os segredos pessoais em um livro aberto, portanto, uma verdadeira distorção entre as fronteiras do controle e da visibilidade, do público e do privado, que se retroalimentam e constituem, simultaneamente, uma “estética da vigilância”, convidando todos a serem ao mesmo tempo controladores e controlados.

A prevenção e cuidados constantes são necessários não somente para o setor privado e público, a pessoa física tem que se responsabilizar pelo seu nome; o nome agora é um produto, uma marca e uma indústria de dados do “bem e do crime” muito rentável para um novo mercado bilionário.

Com a disseminação do uso da Internet, as relações sociais passaram a ser mediadas pelas tecnologias digitais de comunicação em níveis nunca alcançados, potencializando a criação de vínculos associativos e comunitários, a socialidade digital. Essa socialidade é caracterizada por um conjunto de práticas cotidianas e experiências coletivas baseado num politeísmo de valores, mediado pela arquitetura em rede, que ampliará exponencialmente e contribuirá para um processo chamado de retribalização do mundo.

Isso que dizer que as agregações passarão a acontecer via interesses comuns, independentes de fronteiras ou demarcações territoriais fixas. Nesse sentido, o virtual é a materialização de uma desterritorialização contínua do real, que afeta a maneira como lidamos com o tempo. A ideia de futuro, espaço, tempo e território sofrem modificações em tempo real com a introdução da microeletrônica e das redes telemáticas, trazendo a sensação de compressão do espaço e do tempo por meio de agregações sociais.

Ainda que tenham dinâmicas próprias e pouco conhecidas, tais relações digitais não estão isentas das mesmas formas de configuração de poder de gênero, classe e étnicas (marcadores importantes das desigualdades sociais do “mundo offline”).

Espionagem digital

Podem ser consideradas como ameaças virtuais os fatores que colocam em risco a segurança da informação, ou seja, integridade, confidencialidade e disponibilidade dos dados. Garantir que os dados estejam acessíveis somente a profissionais autorizados é tão importante quanto evitar que informações sigilosas ou críticas se percam.

Algumas questões para reflexão:

O dispositivo está enviando ou recebendo mensagens estranhas de texto?
Celular foi invadido?
Apps instalados sem sua autorização?
Aumento no uso de dados ou mensagens de texto (SMS) em seu smartphone?
Conta de telefone celular mostra cobranças e mensagens inesperadas?
Problemas no e-mail e acesso a sites hackeados?
Interrupções incomuns de serviço?
O ambiente corporativo é auditado? Se sim, a entrega do relatório é para quem?
As áreas de controles tais como: Segurança, Compliance, Auditoria, Jurídico, Controles Internos, Fraudes, Ouvidoria, Gestão de Riscos são estratégicas para sua companhia? Se sim, para quem respondem na sua estrutura?
As áreas de controles são integradas e inteligentes ou atuam somente nos incidentes?

Após a constatação de alguns desses sintomas, o ambiente deve ser monitorado periodicamente, e de forma preditiva. As áreas devem ser integradas não somente no processo, mas também nas estruturas e equipes, provendo a real “governança inteligente”.

10 dicas para proteção contra espionagem cibernética

1 – Para elevar o nível da segurança e proteção contra qualquer tipo de ataque, segue algumas boas práticas para serem implementadas.

2 – Faça parceria e integração com especialistas em segurança da informação para entender completamente o cenário de ameaças.

3 – Saiba quais ativos precisam ser protegidos e o risco operacional associado a cada um.

4 – Identifique onde podem estar as suas vulnerabilidades.

5 – Corrija periodicamente ou atenue as vulnerabilidades com uma estratégia de defesa profunda.

6 – Entenda os adversários que desenvolvem táticas, técnicas e procedimentos que permitem reformular suas contramedidas defensivas, conforme necessário.

7 – Tenha uma equipe treinada, preparados para impedir um ataque ou responder o mais rápido possível, se você estiver comprometido.

8 – Enquanto a prevenção é preferida; detecção e respostas rápidas são essenciais.

9 – Tenha um plano alternativo para o que você fará se for vítima de guerra cibernética.

10 – Garanta que os fornecedores críticos de infraestrutura não tenham sido comprometidos e tenham salvaguardas/seguros para garantir a integridade dos sistemas fornecidos.

Plano de recuperação e desastre (PCN) para médias e grandes empresas de forma extensivamente treinada, testada, evidenciada e auditada, principalmente no que se refere a infraestrutura básica (energia, água, etc.). Para empresa de menor porte e pessoa física um bom backup e teste de recuperação documentado e plano de contingência de sua infraestrutura critica o ajudará bem.

Anonimização, pseudonimização e criptografia: Perguntas frequentes, definições e o que diz a LGPD

Gisele Kauer — Tue, 05 Nov 2019 18:42:01 +0000

Anonimização, pseudonimização e criptografia: Perguntas frequentes, definições e o que diz a LGPD

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

No dia a dia da proteção de dados, a anonimização é uma das questões que aparentemente mais intriga os nossos clientes: especialmente por apresentar em si a possibilidade de não incidência da lei.

Veremos aqui cada uma das questões mais frequentes que aparecem no nosso cotidiano. O objetivo é trazer uma compreensão do que é ou não é anonimização, o que é pseudonimização e acabarmos com uma dúvida que sempre aparece sobre a relação entre criptografia e anonimização – afinal, elas são sinônimos? preciso criptografar para anonimizar? O que a lei fala sobre criptografia?

O que é anonimização?

A palavra “anonimização”, dentro do senso comum, traz a ideia de tornar algo (ou alguém) não identificável, ou seja, tirar a possibilidade de associação de um indivíduo a um nome ou identidade.

Falando de sua etimologia, a palavra vem do grego “anōnumos”, (an- “sem” + onoma “nome”), já trazendo em si a ideia não identificação, ainda que num contexto ligeiramente diferente da nossa atual sociedade da informação. E no contexto da proteção de dados pessoais?

A LGPD – Lei Geral de Proteção de Dados traz a seguinte definição:

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Além disso, a lei também traz a definição de “dado anonimizado”:

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

E como se dá este processo? Para trazer uma explicação de forma simplificada e mais visual, veja o infográfico abaixo.

A anonimização consiste em um processo que tem o objetivo de impossibilitar a identificação do titular dos dados. Numa utilização prática, seria uma alternativa mais segura, por exemplo, para empresas que desejam utilizar dados pessoais para fins com viés mais “estatístico”. São atividades onde não é necessário que se identifique diretamente o titular, mas que algumas informações são relevantes para uma metrificação, análise estatística. Como exemplo: quantas mulheres estavam presentes em determinado evento?; quais são as profissões/áreas de atuação dos inscritos em determinado curso?; qual é a faixa etária média entre os usuários de determinado aplicativo?

É importante destacar que, para que se categorize de fato ANONIMIZAÇÃO (e não pseudonimização, conforme veremos adiante) é necessário que a desassociação das informações que possam identificar diretamente o indivíduo seja um procedimento irreversível ou, pelo menos, realizado por meios técnicos exclusivamente próprios, que possam ser considerados razoáveis, seguros e suficientemente atualizados no critério espaço temporal, de modo que a sua reversão seja consideravelmente custosa e dificultada em questão de tempo despendido e habilidades técnicas necessárias para realizar o processo de reversão (reidentificação dos titulares).

De forma geral, a forma mais segura de se realizar a anonimização seria a exclusão dos identificadores diretos (ex.: nome, RG, CPF, passaporte), de forma definitiva e buscando, inclusive, apagar possíveis registros e rastros remanescentes que possam levar à recuperação de tais dados (e, consequentemente, à reidentificação dos titulares).

Outro artigo da LGPD que não podemos esquecer ao tratarmos de anonimização é o artigo. 12:

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Este artigo define que os dados anonimizados não são classificados como dados pessoais perante à LGPD; ou seja, que a Lei Geral de Proteção de Dados não se aplica a tais dados.

Daqui, também podemos extrair a seguinte informação: caso o processo de anonimização possa ser revertido (ainda que mediante esforços razoáveis), não estamos mais falando de dados anonimizados (e, portanto, não mais falamos da não incidência da LGPD) – a não ser que, no processo de reversão, a empresa utilize exclusivamente meios próprios (estes considerados razoáveis na ocasião do tratamento).

Por fim, temos os parágrafos que acompanham o art. 12 da LGPD:

1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e a utilização exclusiva de meios próprios.

2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

A LGPD exige anonimização?

A resposta é não. A lei somente traz a anonimização como uma opção em determinadas circunstâncias, mas não é um procedimento obrigatório para quem deseja tratar dados pessoais.

Como já pontuamos, o grande atrativo da anonimização é justamente a não incidência da LGPD sobre dados anonimizados. Portanto, caso a sua empresa/cliente não precise identificar diretamente os titulares dos dados, recomende a anonimização! É melhor para os titulares e pode ser melhor para o bolso de quem não quer correr o risco de ser sancionado pela Autoridade Nacional.

O que é pseudonimização?

A lei brasileira de proteção de dados pessoais não traz uma definição de pseudonimização no seu rol de definições. Ela somente aparece no art. 13, §4º, num contexto sobre tratamento de dados referente a estudos em matéria de saúde pública:

Art. 13. §4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

A definição é bem semelhante à trazida pelo GDPR – General Data Protection Regulation:

Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

Abaixo, trago outro infográfico para ilustrar a ideia.

Diferente da anonimização, a pseudonimização não exclui a incidência da LGPD aos dados pessoais tratados. Ela representa somente um meio mais seguro de tratar os dados pessoais quando ainda há um interesse em manter os identificadores diretos do titular. A ideia é que estes sejam mantidos de forma separada. É comum que os dados pessoais, como nome e números de documentos, sejam substituídos por identificadores indiretos (um número ou código alfanumérico que possa ser utilizado para reunir os dados pessoais identificáveis com aqueles que, por ora, encontram-se pseudonimizados).

O que é criptografia?

Decidi trazer esse tópico pois, curiosamente, de uns tempos para cá, a criptografia vem sendo um constante foco de perguntas na LGPD, especialmente em conjunto com a anonimização (e trarei adiante respostas a algumas delas).

Caso você não conheça o conceito de criptografia, não se preocupe! Veja abaixo um infográfico para ilustrar.

De forma bastante simplificada, a criptografia é sobre codificar e decodificar dados. Basicamente, ela consiste em uma prática na qual um dado é codificado por meio de um algoritmo (no exemplo acima, uma mensagem enviada é codificada). Esse algoritmo trabalha de forma conjunta com uma chave, que define como a mensagem será cifrada (codificada).

Há dois tipos de criptografia:

Simétrica – onde uma única chave é utilizada para codificar e decodificar os dados.
Assimétrica – onde uma chave é utilizada para codificar os dados (chamada “chave pública”) e uma outra é utilizada para decodificar os dados (chamada “chave privada”). Aqui, também é possível identificar a identidade do usuário (por isso considerada mais confiável).

Criptografar é a mesma coisa que anonimizar?

A criptografia pode ser utilizada nos processos de anonimização e pseudonimização; mas não é, necessariamente, um sinônimo.

A lei, em algum momento, exige a encriptação de dados?

Uma pergunta frequente com a qual nos deparamos é se a lei exige que a empresa que trata dados pessoais aplique a criptografia.

A palavra criptografia se quer aparece no texto da LGPD. Ela pode ser utilizada como uma boa prática em segurança da informação e proteção de dados, mas não existe qualquer obrigatoriedade em utilizá-la.

Bom, por hoje é isso. Espero ter conseguido esclarecer algumas dúvidas e trazer o conteúdo de forma mais simplificada.

5 mudanças no texto final da LGPD que você precisa saber

Gisele Kauer — Thu, 08 Aug 2019 18:18:49 +0000

5 mudanças no texto final da LGPD que você precisa saber

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

O presidente Jair Bolsonaro sancionou, no dia 8 de julho último, a nova Lei Geral de Proteção de Dados. Este foi o último passo para termos, definitivamente, a nossa Lei Geral de Proteção de Dados (Lei n. 13.709/2018) por inteiro.

Para quem não se recorda, a Medida Provisória n. 869/2018 tratava de uma complementação/modificação da LGPD com forte peso e expectativas, já que a sua redação seria responsável pela inserção da ANPD – Autoridade Nacional de Proteção de Dados, que tem como principais funções a aplicação da LGPD e de suas sanções, em caso de violação, bem como a fiscalização e até mesmo a edição de regulamentação complementar, opiniões técnicas e disposições mais específicas em questão de prazos e procedimentos apresentados na lei.

Mas, ainda que este seja o item de maior destaque, a MP não apenas tratava sobre a Autoridade; outras questões importantes estavam em jogo. Mas, o que mudou com a sanção? Vou apresentar as 5 mudanças que você precisa saber.

1 – Agora é real, oficial: A LGPD entra em vigor em agosto de 2020

Não há mais dúvida: o prazo de entrada em vigor da LGPD é agosto de 2020 (segundo os cálculos do Fabricio Mota, mais especificamente, no dia 16 de agosto de 2020). Assim, as empresas ganharam mais seis meses no prazo de adequação à lei.

Mas isso não significa que dá para deixar o programa de implementação de proteção de dados para a última hora. Um programa efetivo exige várias etapas e uma verdadeira mudança de cultura – e isso não é possível fazer do dia para a noite.

Apesar de algumas críticas quanto à dilação do prazo, pensando que no Brasil, diferente da União Europeia, não havia uma lei específica anterior sobre o tema, é razoável que as empresas tenham um prazo maior para uma compreensão da lei e planejamento de como se dará a implementação dentro das peculiaridades do modelo de negócio (core business, quantidade e sensibilidade dos dados processados, faturamento anual, número de áreas e colaboradores, etc.).

2 – ANPD possivelmente autônoma – em 2 anos

Uma das maiores críticas que fizemos à LGPD foi a questão da autonomia da Autoridade Nacional de Proteção de Dados, apresentada num primeiro momento como agência reguladora – o que comprometia a entrada do Brasil na lista de livre transferência internacional de dados da União Europeia (nela estão, inclusive, os nossos vizinhos Argentina e Uruguai). Um dos requisitos para estar nesta lista, além de possuir uma legislação considerada adequada para a proteção de dados, é a existência de autoridade supervisora independente.

Essa ausência de autonomia significaria para o Brasil um atraso em diversos sentidos, uma vez que vivemos numa economia baseada em dados e considerando que a União Europeia é um parceiro comercial estratégico.

Mas a boa notícia foi que o texto final trouxe um novo formato para a nossa Autoridade, que já representa um avanço rumo à livre circulação de dados com a União Europeia: agora, ela será órgão da administração pública federal direta, vinculada ao Presidente da República e podendo, no período de dois anos, tornar-se “entidade de regime autárquico especial”.

Entidade o que? Bom, traduzindo do “juridiquês”, seria um tipo de autarquia que pode contar com privilégios específicos e maior autonomia para um pleno desempenho de suas finalidades. Alguns exemplos desse tipo de autarquia são o Banco Central do Brasil e a OAB.

Ainda temos muito a esperar quanto à ANPD.

3 – DPO pode ser pessoa física ou jurídica – e não tem mais obrigatoriedade de conhecimento jurídico-regulatório

A primeira alteração quanto ao DPO – Data Protection Officer (ou encarregado) da MP foi um tanto bem recebida: a LGPD que trazia a definição do DPO como pessoa física, passou a definir esta figura como “pessoa física ou jurídica”.

E o que isso quer dizer? Que agora podemos falar em opções mais razoáveis tanto em questões econômicas como técnicas. Com essa mudança, podemos falar em “DPO as a service”, que seria a contratação de uma pessoa jurídica (empresa, consultoria, escritório de advocacia, etc.) especializada para assumir as responsabilidades de um DPO.

Isto é interessante por não obrigar uma empresa a contratar um encarregado via CLT (o que pode ser um tanto desproporcional para startups ou pequenas e médias empresas, por exemplo, devido ao custo de manter um funcionário), como traz a possibilidade de contratação de um serviço completo envolvendo um time com um excelente nível de conhecimentos técnicos e jurídicos, com formação multidisciplinar.

Mas outra modificação vem dividindo opiniões: na MP o DPO precisava ter conhecimento jurídico-regulatório. E, junto à sanção, o Presidente Jair Bolsonaro vetou esta especificação.

Sabemos que para diversas das atividades listadas na LGPD, o conhecimento jurídico-regulatório será sim necessário (bem como, para tantas outras, conhecimentos técnicos específicos). Independentemente da inserção, ou do veto posterior, é necessário conhecimentos multidisciplinares e interdisciplinares para o desempenho das funções de DPO. Portanto, não entendo que o veto representou qualquer prejuízo ou mudança significativa no cenário fático.

Além disso, o veto a este detalhe pode representar um ponto positivo para evitar que os nichos de mercado do meio jurídico acabem “monopolizando” a função.

4 – Compartilhamentos de dados de saúde com maiores restrições

Os dados referentes à saúde não podem ser compartilhados para fins de obtenção de vantagem econômica.

A MP determina que esta categoria de dados só poderá ter o seu compartilhamento dentro de algumas hipóteses específicas: para fins de portabilidade (solicitada pelo titular dos dados) ou no âmbito de transações resultantes da prestação de serviços de saúde, assistência farmacêutica e assistência de saúde.

5 – Revisão de decisões automatizadas

Anteriormente à Medida Provisória, caso o titular requisitasse a revisão de decisões automatizadas que afetassem os seus interesses era assegurado pela Lei que a revisão deveria ser realizada por pessoa física. Já na nova redação, não há qualquer especificação sobre a obrigatoriedade de que a revisão seja realizada por pessoa natural ou com a sua intervenção.

Ainda que haja críticas sobre esta modificação, devemos pensar que a revisão realizada por algoritmo (de forma automatizada) pode ser bem mais precisa do que a feira por pessoa natural. Ainda é preciso lembrar dos alto custo às empresas para que cada solicitação de revisão (em matéria de credit score, profiling e outros tipos de enquadramento automatizado e massificado) seja verificada por pessoa natural, que também necessita de determinados conhecimentos técnicos para realizar uma revisão algorítmica razoável.

Em casos específicos, pode ser plausível tal exigência, mas, num contexto geral, de fato é um dispositivo desproporcional e sem um real benefício ao titular dos dados.

Foram estas as mudanças. Espero ter conseguido passar uma ideia geral e uma visão tanto dos pontos positivos, quanto dos negativos. E para você? As mudanças foram para melhor ou para pior?

Minha empresa sofreu um data breach – E agora?

Gisele Kauer — Sun, 02 Jun 2019 15:16:49 +0000

Minha empresa sofreu um data breach – E agora?

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

Nos últimos anos, vimos crescer o número de grandes incidentes tomando as manchetes da mídia nacional e internacional. O que preocupa o mercado hoje é que, mesmo sem a entrada em vigor da LGPD, já temos multas e indenizações alarmantes por razões de incidentes com dados pessoais. Recentemente, tivemos Banco Inter (R$ 1,5 milhão), Netshoes (R$ 500 mil), Atlas Quantum (R$ 10 milhões, ainda em discussão). Já se falarmos no cenário da União Europeia, onde a GDPR está em vigor, foi identificado em um levantamento de fevereiro de 2019 que, em 8 meses, mais de 59 mil data breaches foram reportados e 91 multas foram aplicadas. Entre elas, ganhou destaque a sanção de 50 milhões de euros aplicada à gigante da tecnologia Google, pela Autoridade Nacional Francesa.

Os números assustam aqueles que hoje exercem atividades que envolvem tratamento de dados pessoais, abrangendo diversos setores que sequer são diretamente ligados à área de tecnologia em suas atividades fim. A cada dia, parece mais inconcebível pensarmos em atividades que, em momento algum, façam uso de bancos de dados, independente do ramo ou indústria.

A questão é: o que a nossa LGPD diz sobre tais incidentes? O que fazer caso o pior aconteça? Quais são as sanções e quais são os critérios de aplicação?

Ainda que a empresa jure que está “100% em compliance com a GDPR/LGPD”, não significa que seja impossível ser atingida por um incidente. Isso porque nem todo incidente é previsível ou completamente evitável.

Novas tecnologias aparecem, ataques mais sofisticados são desenvolvidos de tempos em tempos. Para ilustrar esra situação, caso o leitor já tenha se esquecido, trago a breve recordação do WannaCry, o malware que surpreendeu o mundo. O ransomware explorava uma vulnerabilidade no Windows, e, nos primeiros ataques em que foi utilizado, não se tratava de algo completamente previsível ou amplamente conhecido. A popularização aconteceu somente após o surto de maio de 2017. “Ah, então você está dizendo que não adianta desenvolver um programa de adequação à LGPD, já que o risco existe de qualquer maneira?”

Calma lá! Vamos à lei.

Você já deve ter ouvido sobre as sanções da LGPD (e muito provavelmente por isso está aqui), mas vamos relembrar rapidamente:

Advertência (com prazo para tomar medidas corretivas).
Multa simples (de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada ao total de R$ 50 milhões por infração).
Multa diária (observando o mesmo limite).
Publicização da infração.
Bloqueio dos dados pessoais referentes à infração.
Eliminação dos dados pessoais referentes à infração.

Porém, existe algo ainda mais importante do que conhecer as sanções: conhecer os parâmetros e critérios a serem considerados na hora da aplicação da sanção:

A gravidade e a natureza das infrações (e dos direitos pessoais afetados).
A boa-fé do infrator.
A vantagem auferida (ou pretendida) pelo infrator.
A condição econômica do infrator.
A reincidência.
O grau do dano.
A cooperação do infrator.
A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.
A adoção de política de boas práticas e governança.
A pronta adoção de medidas corretivas.
A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Ou seja, a lei considera, sim, que você possa ser um “infrator do bem”. Sua empresa adotou todas as medidas possíveis e impossíveis para prevenir o incidente, fez de tudo para mitigar os danos quando aconteceu, estava realizando um tratamento de acordo com os princípios e exigências da LGPD. Mas, aconteceu.

E é aí que entra que uma postura ética e um esforço real em cumprir com as exigências regulatórias de proteção de dados pessoais pode gerar recompensas. Isso tudo será levado em consideração no “julgamento final” perante à LGPD.

Ok, o data breach aconteceu: como devo proceder?

Em primeiro lugar, a lei coloca a obrigação de comunicar o incidente à autoridade nacional e ao titular, em prazo razoável (este será definido pela Autoridade Nacional – aguardemos).

Nessa comunicação deve conter:

A descrição da natureza dos dados afetados (por isso é tão importante organizar os bancos de dados.
As informações sobre os titulares envolvidos (você precisará saber quem deverá ser comunicado).
A indicação das medidas técnicas e de segurança utilizadas para proteção de dados (você precisará provar que o incidente foi uma fatalidade e que não foi resultado de uma omissão).
Os riscos relacionados ao incidente (aqui entra a importância de um mapeamento de dados bem feito: saber as proporções que o incidente pode tomar é essencial para uma contenção direcionada e com chances de sucesso. Pelo bem dos direitos dos titulares, mas também da sua empresa).
Os motivos da demora, no caso de a comunicação não ter sido imediata (um monitoramento constante dos bancos e fluxos de dados pode significar uma comunicação mais tempestiva e um timing diferencial para mitigar os danos. Se isso não parecer atrativo o suficiente, é bom lembrar que a Autoridade irá cobrar uma justificativa sobre a demora. Assim, é melhor os seus clientes e parceiros descobrirem o incidente por você do que por terceiros).
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo (traçar um plano de resposta com antecedência é muito mais coerente do que fazer tudo na hora do desespero. O momento pós data breach deveria ser reservado apenas para a execução do plano de ação, ou, no máximo, para pequenos ajustes naquilo que já foi planejado considerando as peculiaridades da situação fática).

Então, tenha em mente: adotar as melhores práticas e se preocupar com proteção de dados é a melhor escolha para evitar que o pior aconteça; mas também para a hipótese de o pior acontecer. Um incidente pode significar um dano reputacional, uma multa milionária, uma queda nas ações. Ou pode ser somente um pequeno susto completamente possível de ser contornado por uma equipe especializada e uma mobilização interna organizada.

Proteção de dados não é improviso. É algo que exige tempo, mapeamento, estudo, plano de ação. Não deixe para se preocupar apenas quando a sua empresa for acometida.

Controlador, operador e encarregado: Quem é quem na LGPD

Gisele Kauer — Mon, 29 Apr 2019 17:32:51 +0000

Controlador, operador e encarregado: Quem é quem na LGPD

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

Três importantes figuras foram introduzidas na legislação brasileira pela LGPD: o Controlador, Operador e Encarregado. A compreensão do papel de cada um, tal como as suas atribuições legais, é essencial para a compreensão da nossa nova legislação – e, sem dúvidas, para que possamos fazer um paralelo com a GDPR (ou RGPD – “Regulamento Geral sobre a Proteção de Dados”), que está em vigor há quase um ano na União Europeia.

Hoje, nossa proposta é apresentar cada uma dessas figuras e as suas peculiaridades para acabar de vez com qualquer dúvida. Então, vamos lá:

Controlador

É ele que MANDA. Nas palavras da própria lei, o controlador pode ser classificado como “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”. Seria a figura equivalente ao responsável GDPR, ou seja, a empresa que demanda o tratamento, podendo ela mesma realizá-lo ou contratar um operador (que veremos logo a seguir). A lei brasileira, no entanto, traz uma peculiaridade: o controlador pode sim, ser pessoa natural – na GDPR essa classificação é limitada a pessoa jurídica. De certa forma, é um viés interessante, já que inibe condutas criminosas como colocar “laranjas” desempenhando o papel de controlador; caso a pessoa física desrespeite a lei, haverá sanções também.

Cabe ao controlador, por óbvio, seguir o disposto na LGPD, devendo realizar o tratamento de acordo com os princípios ou orientar corretamente o operador, para que este realize um tratamento lícito. Um ponto interessante é a responsabilidade do controlador de elaborar o relatório de impacto (nas hipóteses aplicáveis).

Ele responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação). Ainda, responde solidariamente pelos danos causados pelo operador, se diretamente envolvido no tratamento que resultar em danos.

Operador

Está apenas cumprindo ordens e os dispositivos legais, é claro. Caso o controlador deseje que um terceiro realize o tratamento dos dados, será preciso contratar um operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Esta figura seria o equivalente ao subcontratante da GDPR (é o processador dos dados pessoais).

O operador deve seguir as diretrizes trazidas pelo controlador e tratar os dados de acordo com as políticas de privacidade referentes e ao ordenamento jurídico.

Ele ainda responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação) – assim como o controlador. Responde solidariamente caso descumpra a legislação (equiparando-se ao controlador, caso não houver seguido as instruções deste).

Encarregado

Por último, mas não menos importante, temos a figura do encarregado: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. Equipara-se à figura do já conhecido DPO, da GDPR, e tem como responsabilidade legal estabelecer comunicação com os titulares e autoridade nacional, esclarecimentos, providências, orientações internas. Na redação original da lei brasileira, havia a exigência de que o encarregado fosse pessoa física; mas a redação foi alterada com a MP 869/2018.

Na LGPD, pelo menos por enquanto, o encarregado deve ser indicado pelo controlador, não havendo previsão expressa de indicação por parte do operador.

Ainda que o encarregado seja uma figura que ganhou lugar nos holofotes em ambas legislações, é importante lembrar: em momento algum há previsão sobre esta figura responder legalmente – entende-se, portanto, que cabe ao controlador a sua fiscalização, que pode ser seu funcionário ou prestador de serviços por meio contratual, pois, a quem interessa se o encarregado está desenvolvendo as suas atividades adequadamente é a própria empresa que o contratou. A responsabilidade, em caso de incidente, é do controlador ou operador (a depender do caso concreto); mas jamais do DPO/encarregado.