LGPD - GESTÃO DE RISCOS - PROTEÇÃO DE DADOS

-

 



Gestão de riscos corresponde a adoção das melhores práticas, métodos e da implementação de políticas que venham permitir uma gestão dos limites de riscos considerados como aceitáveis quanto ao capital, precificação e gerenciamento de carteiras.

Refere-se a um conjunto de atividades de cunho material ou através de recursos humanos que buscar minimizar riscos tendo o propósito de utilizar medidas para reduzi-los para um nível aceitável, buscando tratá-los da forma mais eficiente, passando basicamente por 6 etapas:

Planejamento: Corresponde a tomada de decisões com base na realidade interna da companhia, abrangendo metodologias, ferramentas técnicas e ações de como o gerenciamento será executado.

Identificação: Aqui deve ser apurado quais os riscos que podem vir a afetar a companhia, havendo uma análise minuciosa sobre quais fatores que trazem preocupações e inseguranças.

Análise qualitativa: Envolve o levantamento num cenário subjetivo em escalas de medidas de impacto de riscos e probabilidades, buscando avaliar e classificar quais são os riscos prioritários e quais carecem de forma emergencial de uma maior atenção.

Análise quantitativa: Envolve a investigação prática dos impactos e efeitos de tais riscos com precisão numérica. Segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda de dados causada pela ameaça.

Planejamento de respostas: Aqui verificamos os planos de ação para cada possível situação, com soluções específicas e factíveis.

Monitoramento: Através de ferramentas, sistemas e relatórios deve-se acompanhar o comportamento dos riscos no tempo e a adequação do nível de exposição existente.

Sobre alguns termos utilizados neste contexto, vulnerabilidade condiz com a fragilidade de um ativo ou controle que pode ser explorado por uma ou mais ameaças, já a ameaça em si, corresponde a causa potencial de incidentes que pode cominar em danos à uma organização ou sistema.

Risco pode ser definido como a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e o seu respectivo impacto ser de cunho negativo, cabendo por fim, ao controle de segurança mitigar tais riscos potenciais através de uma gestão precisa e eficiente.

Para que se tenha uma boa governança de dados é preciso entender internamente como funciona o tratamento de dados na companhia, quais dados que ela trata, em qual negócio e público está inserida, quais meios e ferramentas já utiliza, aplicando-se de forma personificada políticas, recursos humanos e meios tecnológicos para se atingir os melhores resultados.

É sabido que a Lei Geral de Proteção de Dados (Lei 13.709/2018[1]) foi um marco importante na regulamentação do tratamento de dados no país, sendo de suma relevância inclusive ao cenário internacional com o advento da normativa europeia chamada GDPR (General Data Protection Regulation)[2], uma vez que fomentou que outros paises também tivessem leis vigentes que primassem pela proteção de dados. Todavia, a aplicação da LGPD não deve ser vista de forma isolada, nosso ordenamento traz outras normativas que devem ser aplicadas e passíveis de sanções administrativas e judiciais.

Como exemplo podemos citar o Marco Civil da Internet, o Código de Defesa do Consumidor e até normativas publicadas por órgãos reguladores que tratam do tratamento de dados no Brasil, como o BACEN, ANATEL e outros. Motivo pelo qual entender o mercado em que aquele que faz o tratamento de dados atua e a gestão de riscos aplicáveis é substancial.

Lembrando que a LGPD trata de sanções administrativas que poderão ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados) após o início de sua vigência previsto para agosto/2021, todavia na esfera judicial, com base em todo contexto normativo já vigente, é possível a responsabilização de empresas que atuam com o tratamento de dados pessoais.

Destarte, podemos conceituar as ameaças e vulnerabilidades em três agentes principais, o primeiro através de crackers que de forma intencional executam ações aos sistemas de informação, por vezes objetivando valores pecuniários para cessar ameaças (conhecidos como resgate) ou mesmo sem fins lucrativos, mas de pura má fé (utilizando meios já explanados em artigos anteriores).

Um exemplo recente que podemos citar ocorreu no Grupo Fleury em junho/2021, a companhia sofreu ataque de vírus de resgate (chamado de ransomware) ficando seu sistema fora do ar por cerca de 2 dias, o que sem dúvidas causou graves danos a empresa, na qual veiculou publicamente que não constatou a evidência de vazamento de dados e informações sensíveis na qual faz o tratamento[3].

Outra forma que se verifica ameaças e vulnerabilidades é através dos próprios colaboradores, seja por descuidos ou mesmo de forma intencional. Sendo importante a realização de treinamentos e orientações ostensivas que envolvam a educação, a limitação e conscientização de acessos e esclarecimentos sobre responsabilidades.

Um mero exemplo que podemos pontuar é imaginar um colaborador do departamento de Recursos Humanos que por descuido possa enviar um relatório interno com dados pessoais de funcionários para pessoas não autorizadas, expondo informações indesejadas de conhecimento de terceiros não só pela companhia, mas ao próprio titular do dado revelado. Ou então um colaborador com acesso a informações internas da companhia, até de cunho comercial sigiloso que venha a repassar a terceiros sem o devido consentimento buscando alguma vantagem pessoal.

A terceira forma bastante comum explora a falta de conscientização de segurança de indivíduos, chamada de engenharia social. De forma bastante articulada pessoas mal-intencionadas promovem golpes para que haja o fornecendo de dados pessoais, acessos indesejados ou até o recebimento de valores pecuniários.

A engenharia social tem por base a interação humana, no qual o infrator manipula psicologicamente a vítima para que ela execute ações ou lhe exponha informações privilegiadas. Prática bastante conhecida, mas que por explorar vulnerabilidades emocionais, técnicas ou mesmo por despertar a curiosidade ou a vaidade do indivíduo, se mostram, infelizmente, muito eficazes àqueles de má-fé.

E seria uma certa ilusão dizer que mesmo com a aplicação de uma gestão de riscos consolidada uma companhia estaria alheia a sofrer ataques ou sofra incidentes que coloquem em perigo dados de que trata, estando 100% segura, entretanto é notório que a empresa que realize o tratamento de dados deva sempre estar atualizada as melhores práticas para que qualquer tipo de vulnerabilidade seja mitigado com eficiência e rapidez.


Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Jul/2021

Photo by Scott Graham on Unsplash




[1] Presidência da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 17 de julho de 2021.

[2] JORNAL OFICIAL DA UNIÃO EUROPEIA. GDPR. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=OJ:L:2016:119:FULL. Acesso em: 17 de julho de 2021.

Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra