A exposição de dados pessoais e empresariais pode acarretar sanções legais severas, prejuízos financeiros e danos irreparáveis à reputação de uma organização – e com regulamentações cada vez mais rígidas e consumidores mais atentos à privacidade, é mais do que estratégico prevenir os vazamentos.
No entanto, muitas empresas ainda falham na implementação de medidas seguras, tornando-se alvos fáceis para ataques cibernéticos e penalidades severas.
Neste artigo, abordaremos as principais causas dos vazamentos de dados, as regulamentações que impõem diretrizes para a proteção da informação e as melhores práticas para evitar os incidentes.
Boa leitura!
A Autoridade Nacional de Proteção de Dados (ANPD) define um incidente de segurança com dados pessoais como qualquer evento adverso confirmado que comprometa a confidencialidade, integridade, disponibilidade ou autenticidade desses dados.
E, para além das consequências financeiras e jurídicas, as empresas enfrentam uma grave crise de confiança com seus clientes e parceiros comerciais.
Para exemplificar, temos o caso da Toyota, que em 2019 sofreu um vazamento após funcionários clicarem em e-mails fraudulentos, permitindo que hackers acessassem dados de milhões de clientes.
A falta de treinamento das equipes e a implementação de filtros de segurança para e-mails corporativos, ocasionou o vazamento de mais de 296 mil informações de clientes.
Como falamos anteriormente, quem define o que configura um incidente de segurança com dados pessoais é a ANPD, enquanto a Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil, estabelece regras para o tratamento de dados pessoais e prevê penalidades para organizações que descumprirem suas diretrizes.
De acordo com o artigo 48 da LGPD, é obrigação do controlador comunicar à ANPD e aos titulares dos dados a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
E, mais importante: existe um prazo definido para a comunicação, definido pela própria ANPD. Essa medida é imprescindível para demonstrar o compromisso com a transparência, mitigar os danos do vazamento de dados e estar em conformidade legal.
Neste sentido, a figura do DPO é fundamental para garantir que a comunicação dos incidentes seja feita corretamente e a tempo, visto que o DPO é responsável por atuar como um intermediário entre a empresa, a ANPD e os titulares dos dados.
No próximo tópico, explicaremos mais sobre a relação do Encarregado com as medidas para evitar os danos de um vazamento de dados.
Voltando aos impactos legais dos vazamentos, a LGPD também prevê punições financeiras, com multas que podem chegar a 2% do faturamento anual da organização, limitadas a R$50 milhões por infração.
No caso da legislação global, na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) é ainda mais rígido, exigindo que as empresas informem vazamentos de dados em até 72 horas.
As penalidades financeiras seguem a mesma linha de rigidez e podem chegar a 4% do faturamento global ou 20 milhões de euros, o que for maior.
Além da LGPD e do GDPR, outras leis impõem regras rigorosas para a proteção de dados. A Bundesdatenschutzgesetz (BDSG), da Alemanha, complementa o GDPR com exigências específicas para o país.
Na Rússia, a Lei Federal de Proteção de Dados Pessoais (152-FZ) obriga empresas a armazenar dados de cidadãos russos em servidores locais, com penalidades para quem descumprir a norma.
Agora que entendemos quais os danos e multas, precisamos ser transparentes: os vazamentos de dados são praticamente inevitáveis. Neste sentido, voltamos à importância do DPO para conter as penalidades.
Mas, mesmo entendendo o papel imprescindível de um Encarregado, ter um DPO interno exige muito das empresas – que muitas vezes enfrentam riscos trabalhistas por acúmulo de funções ao elencar um funcionário para exercer o cargo, resultando também em falhas na conformidade.
E, com o alto custo de contratação de um DPO dedicado, essa prática pode ser bem comum. Neste sentido, o DPO as a service surge como uma solução para tratar os vazamento de dados – que, como citamos anteriormente, é inevitável.
No modelo de DPO as a Service, essa responsabilidade é terceirizada para especialistas com experiência em gestão de crises de privacidade e conformidade regulatória, assegurando que as empresas estejam preparadas para lidar com vazamentos de dados de forma estratégica e em conformidade com a legislação.
Além disso, o DPO as a service coordena a resposta aos incidentes, assessora a organização sobre as melhores práticas de mitigação de riscos e assegura que os registros de incidentes sejam devidamente preenchidos e documentados.
E, agora que voltamos a importância de registrar os incidentes, essa prática é essencial para demonstrar a responsabilidade do controlador com a ANPD e os titulares de dados, evitar as sanções administrativas que elencamos no tópico anterior e permitir que os titulares também se protejam das possíveis consequências do incidente.
Entendido o ponto das medidas para redução dos danos, é importante ressaltar que as medidas para reduzir os riscos de vazamento não podem ser deixadas de lado. Para te ajudar, separamos 03 práticas.
A implementação de um Programa de Governança em Privacidade é uma exigência para que as organizações se adequem à Lei Geral de Proteção de Dados (LGPD) e evitem riscos jurídicos, financeiros e reputacionais.
Neste sentido, o programa deve estabelecer diretrizes, processos e mecanismos de monitoramento contínuo para garantir que o tratamento de dados pessoais seja feito de maneira segura e em conformidade com a legislação vigente.
Sem um programa de governança, as empresas ficam expostas a sanções da ANPD, além de ações judiciais movidas por titulares afetados por eventuais falhas na proteção de suas informações.
Com um programa de governança e privacidade, as organizações contam com práticas como:
Como evidenciamos no tópico acima, o treinamento das equipes e o monitoramento contínuo dos dados são imprescindíveis para prevenir as falhas no tratamento das informações.
Muitas vezes, os vazamentos de dados ocorrem por erro humano – como o caso da Toyota exemplifica bem. Por isso, treinar as equipes para reconhecer ameaças, como ataques de phishing e engenharia social, pode reduzir significativamente os riscos de vazamento de dados.
Outro aspecto importante é o monitoramento contínuo dos sistemas, com auditorias de privacidade e proteção de dados, por exemplo.
Um caso que exemplifica bem a negligência com monitoramento contínuo, foi o ataque WannaCry, em 2017, que aproveitou uma falha no Windows que já havia sido identificada, mas muitas empresas não haviam atualizado seus sistemas.
O resultado dessa negligência? Mais de 200 mil computadores em 150 países foram infectados – com prejuízos bilionários.
Com a crescente migração de dados para a nuvem, as empresas que operam nesse ambiente devem implementar criptografia de ponta a ponta e autenticação reforçada para reduzir os riscos de acessos não autorizados.
Empresas como Google e Microsoft adotam o conceito de segurança de confiança zero (Zero Trust Security), no qual cada acesso é verificado individualmente, independentemente da rede de origem.
As vantagens desse modelo são claras: ele reduz significativamente as chances de invasão, proporcionando maior proteção aos dados corporativos.
Além disso, as políticas de privacidade de dados na nuvem também devem fazer parte do escopo, com a restrição de acesso a informações sensíveis, segmentação de dados e auditorias periódicas para garantir que as políticas de segurança estejam sendo seguidas.
Agora que você já entendeu sobre o que caracteriza um vazamento de dados, quais as regulamentações e suas punições e algumas práticas para garantir a conformidade da proteção dos dados, vale ressaltar que adotar algumas mudanças, sem conhecimento do contexto da sua organização, pode ser um esforço inválido.
Por isso, a prevenção de vazamentos de dados precisa ir além: o cumprimento total das diretrizes e implementação de medidas de compliance, boa governança e privacidade de dados são ótimas formas de evitar as não-conformidades e, consequentemente, mitigar os riscos.
A GEP – Soluções em Compliance oferece soluções especializadas em governança corporativa e proteção de dados, ajudando empresas a se adequarem à LGPD, GDPR e outras normativas globais.
Com um time de especialistas, garantimos que sua organização esteja protegida contra riscos regulatórios e ameaças cibernéticas.
Conheça algumas das nossas soluções para evitar penalidades com vazamento de dados:
Entre em contato com nossos especialistas para encontrar a melhor solução para sua organização.
Entre em contato com nossos especialistas que vamos te ajudar!
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting
