Nunca o mundo enfrentou um período de tantos dados vazados. Empresas e governos convivem com esse cenário de incidentes e ameaças cibernéticas há bastante tempo, mas nos últimos meses, os casos de informações sensíveis expostas são dramáticos. O que coloca à prova a forma de tratamento de dados e o papel dos responsáveis, do CISO ao DPO, das políticas de governança e controles ao papel das autoridades.
“Dados irão vazar, o desafio é como fazer a gestão desse vazamento”, pontua o advogado e especialista em Direito Digital, Renato Opice Blum em evento online sobre o Dia Internacional da Proteção de Dados, comemorado hoje (28). Na visão do executivo, a educação sobre o tema e a cultura de proteção implementadas em empresas e na sociedade como um todo fará a diferença no combate ao vazamento.
O Head de Proteção e Resiliência da Allianz Brasil, Cássio Menezes, concorda e enfatiza que promoção de campanhas de conscientização é um desafio contínuo. “Educação é a base de tudo que envolve proteção de dados. Para garantirmos sucesso das iniciativas e comprometimento de todos, precisamos integrar disciplinas de Segurança, privacidade e proteção de dados aos temas que já fazem parte das empresas como gestão de risco, governança e continuidade de negócio”, explica.
O executivo destaca também o papel importante dos gestores de Segurança (CISOs, DPOs, CSOs, etc) em transformar o mindset de parceiros, fornecedores e clientes de que a insegurança é mais barata do que a Segurança. “Isso precisa mudar. Devemos promover mais debates e definir a privacidade de dados pessoais um requisito de negócio, só assim o tema vai permear em todos os processos e naturalmente garantiremos a proteção lá na ponta”, completa.
O papel da ANPD
O Dia Internacional de Proteção de Dados nunca foi tão relevante frente a tantos vazamentos de dados pessoais. Há três meses, a Autoridade Nacional de Proteção de Dados foi criada e terá um longo caminho pela frente a fim de apontar, neste primeiro momento, os temas prioritários a serem enfrentados pelas empresas e órgãos públicos. Até porque, em agosto, entrará em vigor as sanções e multas. Inclusive, a ANPD divulgou hoje seu primeiro ato normativo com agenda regulatório para o biênio 2021-2022.
“O nosso viés de atuação é de orientação, a prioridade é fomentar ações de sensibilização”, destaca o diretor da ANPD, Arthur Sabbat. Segundo ele, as empresas não devem realizar planejamentos de adequações à LGPD pensando em evitar as sanções, mas estruturar a governança da Proteção de Dados Pessoais com ênfase na conformidade à LGPD, de modo proporcional e objetivo. “O ideal é identificar os pontos na Lei que ensejam aplicabilidade e atuar sobre eles”, recomenda.
Para ele, não há como falar em Privacidade e em proteção de dados pessoais sem políticas coerentes de Segurança da Informação que levem a adequados níveis de segurança cibernética. “Uma vez que o tratamento de Dados pessoais se dá quase que totalmente em ambiente digital, há que se investir em Segurança Cibernética para a Proteção desses dados”, completa.
Na visão de Arthur Sabbat, os principais desafios desse ano são: adequar o nível de segurança a ser implementado ao volume de dados pessoais tratados pela organização; capacitar os quadros nos ditames da LGPD e em Segurança da Informação; e manter o pessoal de TI e de Segurança da Informação atualizado com os avanços tecnológicos.
Cultura de proteção
Para o advogado especialista em proteção de dados e direito digital, Guilherme Guimarães, a mudança na cultura é um desafio a ser vencido a fim de dar espaço para aplicação dos controles necessários e garantir a proteção dos dados pessoais e a privacidade do titular.
“A resposta a incidentes é um grande desafio, por isso, um canal de comunicação eficiente para conseguir responder a todas as solicitações dos titulares será vital, pois as reclamações no site Reclame Aqui referentes a dados pessoais chegam aos milhares”, pontua.
Segundo ele, para cumprir a LGPD, será imprescindível que as empresas sigam regras básicas como: gerar documentos e evidências que comprovem a formalização da criação do Comitê de Segurança da Informação e Respostas a Incidentes; contar com o Regimento Interno e a nomeação do Encarregado; manter a Política de Segurança da Informação sempre atualizada; gerar relatórios de pentest e análise de vulnerabilidades; e certificar que todos os empregados foram capacitados e certificados em SI.
“As empresas brasileiras já não são principiantes em proteção de dados pessoais. Possuem, claro, diferentes níveis de compreensão e de conformidade à LGPD, mas estão no caminho certo. Creio que a constante busca pelo compliance à Lei é um esforço válido e que deve ser empreendido por todos”, finaliza o diretor da ANPD, Arthur Sabbat.
