A proteção de dados tem ganhado destaque nas manchetes globais, principalmente com o GDPR (Regulamento Geral de Proteção de Dados, em tradução livre) que passou a vigorar em 25 de maio de 2018 em substituição à Diretiva de Proteção de Dados, de 1995, para regular o processamento de dados dentro da União Europeia (UE). A premissa da lei é não apenas proteger, como empoderar a privacidade de todos os cidadãos e reorganizar a maneira como companhias lidam com dados privados (já falamos do tema aqui no blog da VIANEWS).

Há quase uma década, quando o Big Data se tornou uma ferramenta indispensável nas áreas de negócios das companhias globais, executivos começaram a debater a importância dos dados e a compará-los com o petróleo e os recursos naturais.

‘Dados são o novo petróleo.’ A frase, que para alguns se tornou um chavão, compara os dados aos recursos naturais, como os minérios e o petróleo, indispensáveis para o desenvolvimento das nações no passado. Da mesma forma é com as empresas nos dias atuais: as que detêm mais dados e sabem elencá-los saem à frente da concorrência.

Essa disputa fez com que os dados sensíveis – aqueles que não somente contêm informações as quais não deveriam ser compartilhadas, como poderiam causar exposição da vida pessoal e profissional – passassem a ser visados e explorados por grupos de ciberatacantes.

Estas ações poderiam ser evitadas a partir da combinação de tecnologia e a conscientização do usuário com medidas simples, como não abrir conteúdo suspeito, utilizar senhas para acesso mais elaboradas, não executar programas sem a autorização do responsável pela segurança de TI. Porém não se pode deixar tudo à cargo da conscientização – a cada dia são implementadas mais ferramentas de controle que têm capacidade de analisar e bloquear conteúdos maliciosos antes de eles ficarem disponíveis à execução nos dispositivos das pessoas.

Compreenda o GDPR e a proteção de dados

Segundo um estudo da Marsh & McLennan, os danos financeiros causados por brechas de segurança podem alcançar a marca global de R$ 6,5 trilhões em 2019.

Para evitar não apenas os prejuízos financeiros, a UE demonstrou antecipação e desenvolvimento ao propor a nova legislação de proteção de dados, intitulada GDPR, a todas as empresas que possuem negócios com e no continente.

De acordo com a própria União Europeia, “o objetivo da GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais voltado aos dados”. Sendo assim, companhias pequenas, médias e grandes deverão investir em cibersegurança para estar em conformidade aos mais altos e rígidos requisitos de privacidade.

Aquelas que violarem as regras estarão sujeitas a altas multas. As penalidades variam de 2% a 4% da receita global anual ou até 20 milhões de euros. Considerando a intensidade dessa possível punição, muitos executivos do board (C-level) e membros da diretoria têm encarado esta adequação como prioridade estratégica.

Mesmo com as penalidades, ainda há um longo caminho a ser percorrido pelas companhias. Uma pesquisa realizada pela Commvault indicou, em fevereiro – três meses antes de o GDPR entrar em vigor –, que apenas 12% das empresas pesquisadas estavam em conformidade.

Qual é o impacto no Brasil?

O GDPR prevê que os vazamentos de dados devem ser informados à Comissão de Proteção de Dados (DPA, sigla em inglês) em até 72 horas, sem demora injustificada.

87% das empresas brasileiras sofreram ao menos uma violação de segurança em 2016. Deste total, 58% dos ataques foram causados por negligência em quesitos de segurança e 42% por problemas técnicos (estudo da CompTIA).

Deste total, uma parcela mínima é comunicada. Recentes casos veiculados inlcuem XP Investimentos, Netshoes, Uber, Hilton e até o Facebook.

De acordo com o relatório anual da FireEye, o M-Trends 2018, o GDPR pode ser uma força motriz no aumento da responsabilidade das empresas brasileiras, uma vez que estas vão procurar elevar o nível de segurança, buscando se equiparar às companhias europeias.

Por outro lado, há movimentos em curso, como o Marco Civil da Internet e a resolução do Banco Central, que implementa uma política da segurança cibernética às Instituições Financeiras (esta entrará em vigor no próximo ano), indicando o avanço significativo em conformidade e segurança às companhias.

O que o GDPR ensina

Segurança é um tema sensível e requer atenção de todos. O olhar sensível do board é fundamental não apenas pelo temor às altas multas, mas pelo impacto direto à reputação da marca.

O investimento na área de segurança da informação é crucial e passa a ser incorporado pelas companhias a partir da implementação de legislações. O respeito aos clientes e usuários é outro ponto a ser considerado – hoje, com o acesso facilitado, a exposição é quase inevitável. Entretanto, o que todos desejam é que seus dados sejam utilizados para o fim ao qual foram cedidos, e não deliberadamente, como tem acontecido.

Vamos seguir acompanhando as mudanças e voltamos, em breve, com mais uma análise acerca da implantação do GDPR.

Deixe um comentário