GDPR: Uma análise de contexto

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9777′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#0a0a0a’]

GDPR: Uma análise de contexto

“As políticas de privacidade foram atualizadas”

O primeiro semestre de 2018 foi marcado por caixas de e-mail lotadas de mensagens com a mesma linha de assunto: “Atualizamos nossas Políticas de Privacidade”. A comoção foi tanta, que a maior parte das pessoas notou essa enxurrada de comunicações em torno do mesmo assunto – ao ponto de perderem a paciência.

Os mais bem-humorados fizeram piada sobre como parecia impossível se livrar do tema.

política de privacidade

Tweet de Marques Brownlee, o MKBHD, em tradução livre: “Encontra ilha deserta / uma mensagem em uma garrafa chega à praia trazida pela maré / *abre a garrafa* / Nós atualizamos nossa Política de Privacidade”

Mesmo assim, a maior parte dos usuários desconhecia o motivo por trás dessa avalanche de mensagens: todas as empresas que lidam com dados de usuários europeus estavam rapidamente adaptando suas políticas por conta de uma nova regulação europeia, a Global Data Protection Regulation, ou GDPR.

O que é a GDPR?

A GDPR, ou, em português, a Regulação Geral de Proteção de Dados é uma nova norma adotada pela União Europeia e que entrou em vigor em 25 de maio de 2018 após o escândalo de uso indevido de dados envolvendo o Facebook e a Cambridge Analytica. As implicações deste incidente ultrapassam as consequências já muito graves para o usuário no caso de um vazamento de dados, já que teve influência no processo democrático das eleições de 2016 nos Estados Unidos.

Considerando o imenso volume de dados que produzimos todos os dias, é de extrema importância que sua segurança e manipulação sejam reguladas, já que muitas vezes sequer temos noção da quantidade e natureza desses dados.

Nesta linha, o objetivo principal da GDPR é a proteção da privacidade dos dados pessoais de cidadãos europeus, evitando o vazamento de informações.

As consequências associadas a um vazamento de dados são inúmeras. Para usuários finais que têm seus dados vazados, pode ocorrer prejuízo financeiro, como uso de dados pessoais e de cartão de crédito para realização de compras indevidas; ou mesmo uso das informações para roubo de identidade, em casos nos quais o cibercriminoso usa os dados das vítimas para criar contas falsas e bots, ou até para tomar empréstimos fradulentos.

Contudo, estas não são as únicas possíveis consequências para um indivíduo derivadas de um vazamento de dados. Na verdade, há outras de natureza ainda mais complexas e mais graves, envolvendo a própria liberdade de exercício da cidadania plena.

É por isso que, ao tratar de autoridades responsáveis pelo monitoramento e aplicação da norma, a GDPR ressalta que tem o intuito proteger “os direitos e liberdades fundamentais das pessoas naturais em relação ao processamento de dados”.

Você já se perguntou o porquê?

A resposta curta para essa pergunta é o que viemos falando: a preocupação pública com a privacidade. Em geral, a Europa tem regras mais rigorosas sobre como as empresas usam os dados pessoais de seus cidadãos. A GDPR substitui a Diretiva de Proteção de Dados da UE, que entrou em vigor em 1995.

Isso foi bem antes de a Internet se tornar o centro de negócios on-line que é hoje. Consequentemente, a diretiva estava desatualizada e não abordava muitas maneiras pelas quais os dados são armazenados, coletados e transferidos hoje.

A preocupação pública com a privacidade cresce a cada grande caso de vazamento de dados. De acordo com o RSA Data Privacy & Security Report, para o qual a RSA entrevistou 7.500 consumidores na França, Alemanha, Itália, Reino Unido e EUA, 80% dos consumidores disseram que os dados bancários e financeiros perdidos são uma das principais preocupações. Informações de segurança perdidas (por exemplo, senhas) e informações de identidade (por exemplo, passaportes ou carteira de motorista) foram citadas como uma preocupação de 76% dos entrevistados.

Uma estatística alarmante para empresas que lidam com dados de consumidores é que 62% dos entrevistados afirmaram que culpariam a empresa por seus dados perdidos no caso de uma violação, e não o hacker.

Os autores do relatório concluíram que, “à medida que os consumidores se tornam mais informados, eles esperam mais transparência e capacidade de resposta dos administradores de seus dados”.

A falta de confiança em como as empresas tratam suas informações pessoais levou alguns consumidores a tomar suas próprias medidas defensivas. De acordo com o relatório, 41% dos entrevistados disseram que falsificam dados intencionalmente quando se inscrevem para serviços online. Entre suas principais preocupações estavam a segurança, um desejo de evitar marketing indesejado e o risco de ter seus dados revendidos.

Um exemplo disso é o site https://www.10minutemail.com/ que oferece a criação de endereços de e-mail válidos, randômicos, mas que existem por apenas dez minutos. Muitas pessoas usam estes e-mails temporários para preencher formulários e logins em plataformas das quais não precisarão de contato futuramente, e nas quais não querem depositar seus dados.

O crescimento do cibercrime como fator intensificador

E esse cenário só tende a piorar: até 2021, o custo do cibercrime deve chegar a US$ 6 trilhões por ano – um valor 15 vezes maior do que o registrado em 2015, de US$ 400 bilhões. A previsão é da empresa de pesquisa em cibersegurança Cybersecurity Ventures, com sede nos Estados Unidos.

Os prejuízos incluem danos à integridade, confiabilidade ou disponibilidade de dados, roubo de dinheiro, perda de produtividade, roubo de propriedade intelectual e de dados pessoais e financeiros, fraudes, interrupção de processos de negócio, investigações forenses, restauração e deleção de dados e sistemas infectados, e danos à reputação.

Como vimos, o vazamento de informações como nome, documentos, endereço, conversa pessoal, dentre outros, pode ter consequências gravíssimas para um usuário. Cibercriminosos podem se aproveitar da situação e usar estes dados para criação de perfis falsos, roubo de identidade, chantagem e extorsão, difamação, discriminação, facilitação de ataques de engenharia social e spear phishing, e até para execução de ameaças de violência física, como sequestro e assalto a residências ou locais de trabalho.

Em 2011, a Playstation Network (PSN) da Sony teve dados de mais de 70 milhões de clientes vazados, incluindo mais de 10 milhões de informações de cartões de crédito. Enquanto a rede esteve for a do ar (por mais de um mês), estima-se que as perdas ultrapassem 170 milhões de dólares. Em 2014, a Sony concordou com um acordo preliminar em uma ação judicial coletiva para o pagamento de 15 milhões de dólares aos clientes afetados.

Outro exemplo emblemático foi o vazamento de informações de quase 150 milhões de clientes da Equifax, uma das maiores agências de monitoramento de crédito dos EUA. Dados como número de identidade, endereço, data de nascimento, e até número de carteira de motorista foram expostos.

O vazamento provavelmente começou em maio de 2017, e a empresa só descobriu em julho, tendo ido a público com a informação apenas em setembro do mesmo ano. Embora mais de 20 mil reclamações formais tenham sido submetidas contra a agência, até o presente momento ela não foi condenada.

Vale ressaltar que quanto mais tarde uma empresa informa o público do vazamento ocorrido, por mais tempo os dados vazados ficam expostos sem que sejam tomadas as devidas providências e precauções por parte dos indivíduos afetados, como alterar senhas e informar bancos e operadoras de crédito, por exemplo.

Esta questão é mais uma das que é abordada pela GDPR. De acordo com a nova norma, os usuários têm de ser informados assim que seja possível, considerando-se sempre a sensibilidade dos dados vazados e o perigo que o incidente representa. Em caso de descumprimento, as multas podem ser altíssimas.

Conclusão

Não podemos falar de proteção de dados, sem dar destaque para questões de privacidade. Este é, para alguns, o calcanhar de Aquiles da Internet enquanto ferramenta.

A informação e a comunicação são mais acessíveis, democráticas, e verdadeiramente horizontais do que jamais foram – e como idealizou-se que seriam com a internet. Contudo, questões sérias de privacidade são relevantes no contexto, e por conta disso, precisamos pensar segurança como também nunca havíamos antes.

Nas palavras da presidente e CEO da IBM, Ginni Rommety, “dados são o fenômeno do nosso tempo. É o novo recurso natural do mundo. É a base da vantagem competitiva, e está transformando todos as profissões e indústrias. Se tudo isso é verdade – e até inevitável –, então o cibercrime, por definição, é a maior ameaça a toda profissão, toda indústria e toda companhia no mundo.”

Como vimos, a GDPR é um bom passo na direção de um ambiente de fluxo de dados mais seguro e transparente, e tem o potencial de incentivar regulamentações semelhantes em outros lugares do mundo.

Além da sua inquestionável relevância atual e da urgência de sua edição para o contexto mundial, a GDPR pavimenta o caminho para um futuro mais seguro.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

GDPR: Entenda tudo sobre a regulação que entrou em vigor

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9745′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=’custom’ color=’#0a0909′]

GDPR: Entenda tudo sobre a regulação que entrou em vigor  

 

A GDPR, ou, em português, a Regulação Geral de Proteção de Dados é uma nova regulação adotada pela União Europeia e que entrou em vigor em 25 de maio de 2018. 

A lei foi criada com a intenção de proteger a privacidade dos dados pessoais de cidadãos europeus, e se aplica à atuação tanto de empresas da União Europeia, quanto de empresas estrangeiras que processem informações de cidadãos europeus.  

Mas não se engane, a lei também se aplica para residentes em países da União Europeia, não somente cidadãos europeus. Fique tranquilo, nós vamos explicar o que isso significa mais para frente. 

O objetivo principal da lei é de evitar o vazamento de informações, que, por definição, é um incidente de segurança da informação envolvendo processamento de dados sensíveis ou confidenciais em desconformidade legal, seja de maneira intencional ou não. 

Muitas vezes associamos o vazamento de dados apenas à publicação indevida de informações, mas é importante ressaltar que também abrange hipóteses de perda, destruição, acesso indevido, ou alteração indevida de dados. 

A GDPR visa principalmente dar mais controle aos cidadãos e residentes de sua jurisdição (União Europeia) sobre seus dados pessoais, simplificando o ambiente regulatório para negócios internacionais, unificando o regulamento dentro da União Europeia. 

Espera-se que a norma estabeleça um novo padrão geral para os direitos do consumidor em relação aos seus dados, e as empresas encontrarão desafios à medida que implementarem sistemas e processos para o cumprimento. 

 

GDPR – Global Data Protection Regulation 

 

Um dos conceitos mais importantes a se ter em mente para entender a GDPR é o de informação de identificação pessoal, ou seja, informações que permitam a identificação inequívoca do indivíduo. Há diferentes concepções do que caracteriza uma informação de identificação pessoal: pode ser algo simples e direto como nome completo ou número de documentos, ou um cruzamento de dados como data de nascimento e endereço. 

Também é feita a diferenciação de dados considerados sensíveis, com dados pessoais. Dados sensíveis envolvem crenças religiosas, convicções políticas, orientação sexual, informações médicas e biológicas, associações sociais e sindicais, biometria, etc.; já os dados pessoais são números de documentos, nome completo, data de nascimento, endereço de IP, foto, endereço residencial, dados bancários, etc. 

O vazamento de qualquer uma das informações elencadas é grave, mas considere que o cruzamento de dados pessoais com dados sensíveis pode ser catastrófico. 

As empresas precisarão do mesmo nível de proteção para coisas como o endereço IP de um indivíduo ou dados de cookies, como fazem para os dados bancários, endereço residencial e identidade. 

Nesse sentido, as diretrizes que compõem a GDPR são orientadas de acordo com cinco princípios essenciais, cinco objetivos que a norma pretende contribuir para que sejam atingidos no contexto da manipulação de informações de modo incentivar negócios e relações mais seguros e confiáveis. São eles: 

  • Transparência: a empresa deve divulgar claramente qualquer coleta de dados, declarar a base legal para efetuá-la e a finalidade do processamento desses dados, além de por quanto tempo serão armazenados e se estão sendo compartilhados com terceiros, especialmente se para fora da União Europeia. 
  • Minimização e especificação de propósito: a empresa deve coletar o mínimo de dados que ela precise para validar o cadastro do usuário e deve reduzir a extensão de formulários de cadastro. De mesmo modo, todos os requisitados têm que ter o seu propósito especificado. Isso faz com que as empresas sejam obrigadas a otimizar o processamento da informação, requerendo do usuário apenas dados relevantes à sua atividade ou serviço. 
  • Retificação da informação: dados incorretos ou desatualizados deverão ser retificados. O titular dos dados tem o direito de revogar sua permissão a qualquer momento e o direito de ter seus dados apagados sob certas circunstâncias. 
  • Direito à portabilidade de dados: Os titulares de dados têm o direito de solicitar uma cópia portátil de suas informações coletados por um processador (empresa que processe dados) em um formato comum, ou seja, de fácil consumo para o usuário, como .txt, ou .html. Este é um recurso atual do Facebook, por exemplo – você pode requisitar a visualização e o download de seus dados que estejam sob custódia da rede social em Configurações > Your Facebook information. 
  • Direito ao Esquecimento: o usuário tem o direito de perguntar para empresa quais dados seus ela tem e o que ela está fazendo com isso. Os dados que não forem mais necessários deverão ser excluídos. 

 

Quais empresas a GDPR afeta? 

 

Qualquer empresa que armazene ou processe informações pessoais sobre cidadãos da UE deve cumprir a GDPR, mesmo que não tenha presença comercial na UE. Critérios que caracterizam uma empresa como sujeita ao disposto pela GDPR: 

  • Presença em um país da UE; 
  • Processamento dados pessoais de residentes europeus – independente de presença física ou de negócio na Europa; 
  • Mais de 250 funcionários; 
  • Menos de 250 empregados, mas o processamento de dados afeta os direitos e liberdades dos titulares de dados, ou não é ocasional, ou inclui determinados tipos específicos de dados pessoais sensíveis. 

 

A GDPR aplica-se a toda entidade que processar dados pessoais e sensíveis de cidadãos europeus, independentemente da localidade, e incide sobre toda a cadeia da empresa, incluindo – mas não restrito a – funcionários, terceiros, fornecedores, sistemas e data centers (inclusive os baseados na nuvem). 

Isso significa dizer, em resumo, quase todas as empresas no mundo. Uma pesquisa da PwC mostrou que 92% das empresas dos EUA consideram a GDPR como uma das principais prioridades a serem observadas quando se trata de proteção de dados. 

As autoridades públicas e as empresas cujas principais atividades se concentrem em processar dados pessoais de maneira regular ou sistemática são requeridas a contratar um diretor de proteção de dados (DPO), que será o responsável por gerenciar a conformidade da organização com a GDPR.

O que acontece quando você não está em conforme?

Todos esses objetivos e mudanças da lei não seriam possíveis se as penalidades para incidentes não fossem mais duras, de modo a realmente significarem prejuízos reais para as empresas envolvidas. 

Com a GDPR, na ocorrência de um vazamento de dados, as autoridades competentes devem ser notificadas em até 72 horas, e os clientes e usuários pertinentes também devem ser informados o mais rápido seja possível (sempre levando em consideração o risco que o vazamento represente). 

Em caso de violação às regras da Regulação, podem ser aplicadas multas de 20 milhões de euros ou 4% da receita global anual da empresa (o que representar o valor mais alto); e havendo, por parte da empresa, negligência ou violação de direitos ou acordos de ‘Termos & Condições’, os valores das multas passíveis de aplicação dobram. Se o Google violasse essas regras, por exemplo, as multas poderiam chegar a 4 bilhões de dólares (por conta do faturamento anual da Alphabet, que em 2017 foi de mais de 100 bilhões). 

De acordo com a Ovum, 52% das empresas acreditam que serão multadas por não cumprimento. Em concordância com essa estatística, a análise da consultoria de gestão Oliver Wyman mostra que se a GDPR estivesse em vigor nos últimos cinco anos, as empresas do FTSE 100 seriam multadas em até £25 bilhões (isso mesmo, em libras). 

 

Qual é a relevância da GDPR no Brasil? 

A tendência é que o Brasil também caminhe para legislações e punições mais duras para incidentes de segurança da informação e cibersegurança, tanto a partir da criação de leis e regulamentações como por uma maior participação do Ministério Público Federal nesse tipo de caso. 

Neste sentido, a Câmara dos Deputados aprovou o projeto de lei federal 4.060/12 que está, atualmente, em votação no Senado. Existem mais outros dois projetos de lei semelhantes (5.276/16 e 6.291/16), que são extremamente semelhantes à GDPR, com diferenças de penalidade e controle. Contudo, todas estas propostas ainda estão em tramitação. 

Importante ressaltar que hoje não existe em vigor nenhuma legislação brasileira clara e objetiva que faça com que as empresas venham a público informar um incidente, muito menos que preveja uma multa por danos aos consumidores. Apenas alguns casos de vazamento de informação tiveram grande exposição midiática, como por exemplo o da Netshoes e o da Uber, e isso apenas porque os dados vazados incluíam alguns associados a pessoas do Planalto ou de alto escalão do governo. 

Porém, a lei europeia é aplicável no Brasil através dos Supervisory Authorities, que são autoridades públicas independentes fornecidas por Estados-membros da EU para ficarem responsáveis por monitorar a aplicação da GDPR. Isso é ainda mais relevante quando se considera empresas que tem matriz na Europa e operações em outros países, como Mercedez Benz, Santander, Nestlé, Allianz, etc. Além disso, existindo alguma informação sobre qualquer cidadão europeu em qualquer base de dado fora da Europa, esses dados também são regidos pela GDPR. 

 

O que fazer para estar em compliance? 

 

Antes de entrarmos nas considerações práticas, é interessante definir o que é compliance (conformidade, em português), para ficarmos na mesma página. Compliance é basicamente todo o processo adaptativo de uma empresa para estar em conformidade com uma regulamentação (exs: norma, política, lei, código de ética, SOX, PCI, etc.), e para manter uma operação de acompanhamento da referida conformidade. 

Todo processo de uma empresa para estar em conformidade com uma regulamentação precisa manter uma operação de acompanhamento dessa conformidade. Diferente do conceito de segurança da informação ao qual estamos acostumados, as regras de conformidade têm origem quase sempre no negócio, isto é, elas se aplicam aos processos e a tecnologia deve se adaptar a elas. A tecnologia deve dar suporte à conformidade, ajudando os gestores do negócio a monitorar desvios de conformidade, gerando alertas para tratamento de incidentes. 

Se uma empresa não tem certeza se está ou não em conformidade, o melhor a se fazer é conduzir um processo de avaliação da situação e implementação novas medidas que possa posteriormente ser mantido e reavaliado para manter a estrutura de gerenciamento de conformidade e riscos; um plano de trabalho para aderência aos requisitos que porventura estejam defasados.  

 

Treinamento e Conscientização 

 

Sempre ressaltamos que segurança da informação não se baseia apenas em processos, tecnologias, e proteção digital ou estrutural. Na verdade, as pessoas envolvidas na sua operação e no seu negócio são o fator mais essencial para manter as informações da sua empresa mais seguras. Isso não vale apenas para as equipes de TI ou segurança – outras equipes que tenham menos contato com boas práticas podem ser ainda mais importantes de se dar atenção, como as equipes do financeiro e de operações. 

Usuários bem treinados, conscientizados e inseridos numa cultura de segurança de modo que estejam preparados para lidar com as ameaças com as quais se deparam todos os dias – sejam elas cibernéticas ou de engenharia social – são o verdadeiro escudo para uma manter os dados da sua empresa seguros. 

A conclusão, então, é simples: a resposta é treinar colaboradores, conscientizar sobre segurança da informação e criar uma cultura de segurança na empresa. Contudo, apesar de óbvia, a solução é trabalhosa, já que depende do abandono de hábitos ruins para a construção e cultivo de novos hábitos orientados à segurança. 

Para garantir a adequação do comportamento de colaboradores às boas práticas de segurança, é preciso primeiro ter uma política de segurança da informação sólida, elaborada a partir da realidade de necessidades e demandas da empresa. A partir do disposto nesta política, o ideal é que se desenvolva uma cultura de segurança da informação, um verdadeiro mindset de comportamentos quase que automáticos e intrínsecos às ações do dia a dia.  

Entretanto, isso pode ser complexo, pois depende de uma aproximação da política de segurança à realidade dos colaboradores, e para isso, ela precisa ser simples, acessível, e bem comunicada. Para isso servem os programas de conscientização. 

Os programas de conscientização são processos de longo prazo e que dão resultados a longo prazo também – são aprendizados verdadeiramente duradouros. Nisso, os programas de conscientização se diferem de campanhas de conscientização ou campanhas de phishing, por exemplo. Ao passo que campanhas fornecem uma fotografia do momento de uma característica da maturidade de segurança de uma empresa, um programa de conscientização avalia e impacta diversos aspectos para combiná-los na construção de um ambiente verdadeiramente seguro. 

Por isso, um bom programa de conscientização faz a comunicação por diversos canais e formatos diferentes, com segmentação de público e informação constantemente reforçada. Além disso, funciona em ciclos e é reavaliado e adaptado de acordo com os melhores resultados e as demandas percebidas durante o processo. 

Com isso, o programa de conscientização é a melhor forma de maximizar o potencial aliado dos seus colaboradores para não apenas se manter em conforme com as normas mais atuais, mas também com as mais relevantes boas práticas para blindar a sua empresa contra incidentes de segurança da informação. 

Conclusão 

A GDPR é um passo regulatório para esclarecer relações e influenciar a criação de uma cultura mais responsável em torno do fornecimento, armazenamento, uso, e processamento de dados. 

Mesmo se esforçando para estarem de acordo com as novas regras, muitas empresas temem serem punidas nos primeiros meses por não conseguirem estar perfeitamente dentro do exigido, mas há formas de conduzir essa adaptação na sua empresa. 

Para garantir que a sua empresa está em compliance, sugerimos seguir os seguintes passos:  

  1. Entenda onde você está no cenário de compliance (determinação do nível de aderência à norma e projeto do plano de ação);  
  2. Implemente controles e padrões (com a reestruturação dos processos e tecnologias);  
  3. Faça uma pré-auditoria dos controles para verificar sua eficácia. Se a sua equipe não possui braço para realizar essas ações, considere a contratação de uma consultoria. 

[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/buyers_guide-300×211.png’ attachment=’9756′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE: PROGRAMA DE CONSCIENTIZAÇÃO

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/vazamento_informação1-300×210.png’ attachment=’9758′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK VAZAMENTO DE INFORMAÇÕES

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’https://www.proof.com.br/wp-content/uploads/2018/07/cultura-300×209.png’ attachment=’9757′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CULTURA DE SEGURANÇA DA INFORMAÇÃO

[/av_textblock]
[/av_one_third]