Cuidados com a segurança da informação e a importância do respeito à privacidade individual

proteção de dados, privacidade, IA, inteligência artificial

A Lei Geral de Proteção de Dados (LGPD) pode parecer um tema aparentemente bem conhecido por todos, mas certamente é quase inesgotável quando falamos sobre a segurança de dados, a dimensão econômica da legislação e sobre como tudo isso interfere em nossas vidas. É fato que muita gente já ouviu falar sobre a Lei, que visa principalmente proteger os direitos fundamentais de liberdade e de privacidade.

Cada vez mais, o brasileiro tem percebido a importância de assegurar esses direitos, em função dos impactos provocados pelos cibercrimes (que são cada vez mais comuns), da repercussão dos episódios de incidentes de segurança, que resultam na violação de privacidade e vazamento de dados pessoais e pelo aprofundamento das problemáticas sociais acarretadas pelo uso indiscriminado de dados pessoais dos cidadãos.

Por isso, entender que a segurança das informações está intimamente ligada à proteção do direito fundamental à privacidade e proteção de dados, ajuda na observação das diretrizes da LGPD, não só no que tange aos cidadãos comuns, mas, sobretudo, às empresas.

É preciso considerar a privacidade sob uma perspectiva do momento histórico em que vivemos; compreendê-la como uma expectativa econômica. Afinal, por que um dado circula e por que uma empresa coleta um dado? Nada é feito à toa ou por altruísmo: tudo é insumo de alguma atividade econômica.

Vivemos num mundo em que as empresas utilizam a análise massiva de dados para gerar informações que auxiliam na tomada de decisões para os seus negócios.

Segundo o Estudo Mercado Brasileiro de Software – Panorama e Tendências 2023, desenvolvido pela da ABES – Associação Brasileira das Empresas de Software e da International Data Corporation (IDC), o Brasil manteve 1,65% dos investimentos em tecnologia em âmbito global, além de concentrar 36% dos investimentos em toda a América Latina (em comparação aos 40% da pesquisa anterior).

De acordo com os dados do IDC a projeção é que um montante total de US$ 2,9 bilhões seja destinado a soluções e serviços relacionados a Big Data & Analytics em 2023. Esse valor representa um crescimento de 10,8% em relação ao ano anterior.

Nesse contexto, as empresas devem iniciar uma jornada de implementação de governança e boas práticas em proteção das informações com a adoção de medidas de segurança, técnicas e administrativas capazes de proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme previsto na LGPD.

Por meio da governança é possível estabelecer os parâmetros que definirão (regras para coleta, tratamento, armazenamento e compartilhamento de informações). Governança de dados não é algo que você assina. Você pratica. E isso não se faz da noite para o dia. Requer investimento, tempo e muita paciência.

De acordo com a Gartner, 95% das violações de dados que acontecem em cloud computing não são causadas pelos provedores, mas, sim, pelos clientes. Em outras palavras, é preciso compreender que as pessoas sempre serão o elo mais fraco. E embora todos precisem de segurança da informação, não adianta se munir de proteção sem considerar o treinamento de pessoas. É necessário investimento e ação no âmbito da Governança em torno do tripé pessoas/processos/tecnologias.

Essas observações tornam mais simples identificar por onde começar qualquer processo de adequação à Lei.

O mercado cobra políticas de proteção das informações. E grande parte das empresas ainda não começou a agir. Um bom começo pode ser o investimento em capacitação. Não adianta contar com excelentes tecnologias, infinitas camadas de proteção ou altos investimentos se não há pessoas capacitadas e treinadas para seu uso, ou preparadas para não caírem em golpes de engenharia social, ou mesmo estarem suscetíveis a um ataque.

Os processos também precisam ser bem estruturados, e as responsabilidades precisam ser delimitadas. Afinal, desviar informações confidenciais ou violar dados não só envolve riscos éticos, como também criminais.

Quanto aos riscos de não estar adequado (aqui, não é apenas uma questão de multa ou indenização, mas, sim, as possibilidades de violação da propriedade intelectual, de vazamento das informações, da descoberta de segredos industriais…), devemos sempre considerar que é preciso haver um equilíbrio entre pessoas, processos e tecnologias.

Destaco algumas iniciativas imprescindíveis para o sucesso na implementação da LGPD:

(i) envolvimento de todas as áreas da empresa, principalmente dos líderes: uma jornada de adequação envolve investimento, em certos casos altos, e conscientização dos membros da organização sobre a nova cultura de proteção de dados que será implementada;

(ii) diagnóstico prévio: cada empresa tem suas particularidades, com áreas e processos diferentes, setor com regulação, quantidade de empregados, tipo de serviços e produtos, graus de risco diferentes etc., os quais necessitam ser identificados e entendidos em sua amplitude;

(iii) mapeamento de fluxo de dados pessoais: registro das operações de tratamentos de informações pessoais, com a indicação de quais tipos de dados são e poderão ser coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados;

(iv) revisão e/ou criação de cláusulas contratuais que tratam de proteção de dados pessoais e políticas;

(v) Segurança da Informação e gestão de TI: a revisão das soluções em TI (backup; firewall; gerenciamento eletrônico de documentos; antivírus; criação de políticas de segurança da informação etc.) é de suma importância para a proteção dos dados pessoais das empresas e seus clientes;

(vi) privacy by design: a empresa deve pensar em privacidade e proteção de dados pessoais desde a concepção dos seus produtos e serviços, até a execução;

(vii) nomeação de Encarregado: pessoa indicada que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como será responsável pela manutenção do projeto de adequação e treinamento dos colaboradores;

(viii) treinamento: as ameaças de segurança não ocorrem apenas por fatores externos; grande parte dos incidentes de segurança são causados por falhas humanas. Assim, treinamento contínuo de todos os colaboradores da empresa é parte fundamental de uma adequação exitosa.

No fim das contas, essa é a equação que vai assegurar a sua reputação. E reputação não tem preço; tem valor. O comprometimento de toda uma cadeia de informação por parte de um único agente pode influenciar de forma significativa no preço de ações, no posicionamento de mercado e até mesmo na justiça (dados do Judiciário apontam que mais de 40% das ações que envolvem violação de informações confidenciais também envolvem queixas trabalhistas).

A tecnologia foi, é e sempre será feita por pessoas, para pessoas. E cabe a cada empresa, a cada gestor e a cada cidadão observar o seu papel em meio a este cenário. Juntos, será possível proteger dados, respeitar processos e, acima de tudo, priorizar pessoas.

*Gustavo Brant é GVP de América Latina para a DocuSign no Brasil

Por Heitor Carmássio Miranda, Gerente Jurídico Sênior para América Latina da DocuSign.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!