Dia: 29 de janeiro de 2024

Publicado em por Deixe um comentário

ESTRUTURANDO A PRIVACIDADE: DIRETRIZES E DESAFIOS SOB A LGPD NO BRASIL

A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, sob a Lei nº 13.709/18, estabelece diretrizes para o tratamento de dados pessoais. Uma das exigências mais significativas, encontrada no artigo 50 da LGPD, é a implementação de práticas de governança e boas práticas por parte dos agentes de tratamento de dados, incluindo tanto os controladores quanto os operadores. Este mandato legal abrange a criação de padrões técnicos, iniciativas educativas, supervisão rigorosa e medidas para minimizar os riscos associados ao tratamento de dados pessoais.

Aprofundando-se na seção 2 do mesmo artigo, a lei exige especificamente dos controladores a implementação de um programa de governança em privacidade. Este programa deve atender a requisitos essenciais, tais como:

(a) uma demonstração explícita do compromisso do controlador com a adoção de políticas e práticas que salvaguardem os dados pessoais;

(b) a inclusão de todos os dados pessoais sob seu domínio;

(c) adequação às dimensões e especificidades das operações da entidade e à sensibilidade dos dados processados;

(d) o estabelecimento de políticas e medidas de segurança baseadas em avaliações de risco;

(e) transparência para fomentar a confiança dos titulares dos dados;

(f) integração com a estrutura de governança corporativa, incluindo supervisão interna e externa;

(g) elaboração de um plano para responder e remediar incidentes de privacidade;

(h) atualização e aprimoramento contínuos, seguindo, por exemplo, o ciclo PDCA (planejar, fazer, verificar, agir).

Entretanto, mais do que cumprir uma obrigação legal, o programa de governança em privacidade visa incutir uma cultura robusta de proteção de dados dentro da organização. Isso implica em demonstrar para a sociedade que a instituição e sua alta administração estão verdadeiramente comprometidas com a privacidade, alinhando-se aos princípios de boa-fé, transparência, responsabilização e prestação de contas, conforme estipulado no art. 6º da LGPD.

O primeiro passo para implementar esse programa é a formulação de uma declaração de missão ou visão relativa à privacidade. Esta declaração deve comunicar de forma sucinta e clara o compromisso da organização com a privacidade. Ela deve servir como um guia e um elemento-chave para o estabelecimento de uma base sólida para um programa de privacidade que atenda às realidades e expectativas da organização, dos titulares de dados e de todas as partes interessadas.

A declaração de missão deve refletir o motivo pelo qual a privacidade é um valor fundamental para a organização, definindo sua postura em relação a este tema essencial. Esta declaração deve ser breve, clara e facilmente compreensível, descrevendo o propósito e os ideais da organização.

Em outras palavras, a declaração de missão deve articular a aspiração da organização em relação à privacidade. Ela deve estabelecer um objetivo claro, a ser alcançado através de ações concretas, que visem construir uma relação de confiança com os titulares dos dados pessoais.

Por fim, é importante destacar que o programa de governança em privacidade é igualmente necessário para entidades do setor público. A declaração da missão de privacidade, que pode ser parte integrante da Política de Privacidade, é vital para fomentar uma cultura de privacidade e proteção de dados no setor público. Somente assim, o direito fundamental à proteção de dados pessoais, agora assegurado na Constituição Brasileira pela Emenda Constitucional nº 115 de 2022, será efetivamente respeitado em todas as organizações, sejam elas públicas ou privadas.

Publicado em por Deixe um comentário

VAZAMENTO SEM PRECEDENTES EXPÕE BILHÕES DE REGISTROS

Recentemente, foi descoberto um vazamento de dados, envolvendo aproximadamente 26 bilhões de registros. Esta base de dados, ocupando 12 terabytes, foi encontrada em uma instância de armazenamento aberta e tem sido referida como um dos maiores vazamentos de dados até hoje.

Pesquisadores da Security Discovery e da CyberNews, que colaboraram na descoberta, indicam que a base de dados inclui informações de plataformas e serviços conhecidos, como X (anteriormente Twitter), Adobe, Canva, Dropbox, LinkedIn e Telegram, além de registros de diversas organizações governamentais dos Estados Unidos e de outros países, incluindo o Brasil.

Instituições brasileiras como USP, SPTrans e Petrobras, bem como empresas como CCA, Descomplica e Vakinha, estão entre as afetadas. Vale ressaltar, no entanto, que muitos dos dados vazados são provenientes de violações anteriores, indicando uma compilação de vazamentos passados, e não necessariamente uma nova brecha de segurança.

Especialistas em segurança cibernética recomendam precaução. Para os usuários, é aconselhável adotar práticas de segurança, como o uso de senhas fortes e únicas, e a ativação de autenticação de dois fatores em suas contas online. Além disso, é importante estar atento a possíveis tentativas de phishing e outras formas de exploração de dados.

Para os que desejam verificar se suas informações pessoais foram comprometidas em vazamentos anteriores, serviços como o verificador de vazamentos do CyberNews e o Have I Been Pwned permitem que usuários insiram seus endereços de e-mail ou números de telefone para checagem.

Este incidente sublinha a importância da segurança de dados na era digital, reforçando a necessidade de medidas de proteção individuais e coletivas contra violações de dados.

Publicado em por Deixe um comentário

ENTENDENDO O MAPA DE TEMAS PRIORITÁRIOS DA AUTORIDADE NACIONAL

A Autoridade Nacional de Proteção de Dados, responsável pela proteção de dados pessoais e pela aplicação da legislação específica de proteção de dados no Brasil, revelou recentemente seu Mapa de Temas Prioritários. Este documento é um plano de ação estratégico que define as áreas prioritárias para os próximos dois anos, sendo crucial para as empresas que buscam se adequar às normas de proteção de dados e melhorar suas práticas de cibersegurança.

O plano estabelece quatro eixos de atuação. O primeiro se concentra nos direitos dos titulares de dados, com ações de fiscalização voltadas para o tratamento de dados por entidades governamentais, plataformas digitais, e setores financeiro e de telecomunicações. Esta iniciativa inclui a colaboração com outras instituições reguladoras, prevendo uma série de atividades de fiscalização para este ano.

O segundo eixo aborda a proteção de dados pessoais de crianças e adolescentes no ambiente digital. Aqui, o foco é assegurar que os direitos deste grupo sejam salvaguardados, com medidas específicas para verificar o consentimento e a idade em plataformas digitais. As ações planejadas começarão no segundo semestre deste ano e se estenderão até 2025.

O terceiro eixo foca no uso da inteligência artificial em sistemas de reconhecimento facial e no tratamento de dados pessoais, identificando riscos e assegurando a conformidade com a legislação de proteção de dados. A fiscalização será intensificada, especialmente em áreas de acesso público.

Finalmente, o quarto eixo se dedica à raspagem e agregação de dados, onde a autoridade planeja realizar atividades de fiscalização e estabelecer diretrizes para garantir que tais práticas estejam em conformidade com a legislação vigente, com ações previstas para começar no próximo ano.

Especialistas em cibersegurança enfatizam a importância dos investimentos em segurança digital como uma medida preventiva face às diretrizes estabelecidas. Recomenda-se que as empresas implementem ferramentas robustas de segurança para o tratamento adequado de dados e prevenção de vazamentos. Além disso, destacam a importância de ampliar as abordagens de segurança e a conscientização dos funcionários, dado o aumento de ataques de sequestro e roubo de dados.

Para complementar, a capacitação dos funcionários é vista como um elemento essencial na estratégia de cibersegurança. A formação e o aperfeiçoamento contínuo em segurança digital são fundamentais para fortalecer as defesas contra ameaças cibernéticas.

Em resumo, as diretrizes da Autoridade Nacional de Proteção de Dados representam um marco importante para as empresas no Brasil. Elas devem estar atentas e preparadas para se adaptar a estas novas exigências, investindo tanto em tecnologia de segurança quanto na capacitação de seus colaboradores.

Publicado em por Deixe um comentário

COMO A CONSCIENTIZAÇÃO E REGULAÇÃO IMPULSIONAM A CIBERSEGURANÇA CORPORATIVA

No mundo corporativo moderno, a segurança digital e a resiliência são aspectos cruciais para o sucesso e a sustentabilidade de qualquer organização. O ecossistema de parceiros de uma empresa pode desempenhar um papel duplo: sendo um ativo valioso ou um desafio significativo nesse contexto. Esta complexidade foi ressaltada na Reunião Anual sobre Segurança Cibernética do Fórum Econômico Mundial (WEF), onde 90% dos líderes empresariais expressaram preocupação com as disparidades no ecossistema de segurança cibernética, enfatizando a necessidade de ações imediatas.

A segurança na cadeia de suprimentos digitais é uma área particularmente vulnerável, muitas vezes subestimada pelas empresas. O relatório “Global Cybersecurity Outlook 2024” do WEF aponta que 54% das empresas têm um entendimento limitado sobre estas vulnerabilidades. Considerando que 41% dos incidentes de segurança são atribuídos a terceiros, fica evidente a necessidade urgente de reforçar a conscientização e as práticas de segurança ao longo de toda a cadeia de suprimentos. Isso vai além da proteção da infraestrutura interna, abrangendo a garantia de que parceiros e fornecedores também adotem medidas robustas de segurança cibernética.

Por outro lado, uma tendência positiva é observada quando se trata de regulamentações cibernéticas e de privacidade. 60% dos executivos acreditam que essas regulamentações reduzem efetivamente os riscos em seus ecossistemas, um aumento de 21% desde 2022. Isso indica um crescimento na consciência e valorização das normas de segurança cibernética e privacidade, com a conformidade regulatória desempenhando um papel fundamental na prevenção de incidentes de segurança.

No Brasil, a implementação da Política Nacional de Segurança Cibernética e da Lei Geral de Proteção de Dados (LGPD) representa avanços significativos neste sentido. A LGPD, em vigor desde 2020, tem sido um marco na proteção de dados pessoais e regulamentação da privacidade. Contudo, a adoção e conformidade ainda estão abaixo do ideal, possivelmente devido à falta de conhecimento, desafios de implementação e limitações de recursos.

Assim como no cenário global, o número de organizações com resiliência cibernética mínima viável é insuficiente. Mundialmente, as organizações que relatam ter uma resiliência mínima viável diminuíram 31% desde 2022. A distância entre organizações resilientes e aquelas que lutam para se manter seguras está aumentando rapidamente, elevando os riscos nas cadeias de suprimentos, especialmente em um mundo cada vez mais interconectado.

Para enfrentar esses desafios, é fundamental que as empresas invistam continuamente em educação e conscientização sobre a importância da governança de segurança da informação. Investimentos em treinamento, tecnologia e processos que garantam a conformidade com os padrões de segurança cibernética são essenciais. Modelos de referência como ISO, NIST, CIS, SOC, entre outros, oferecem orientações valiosas. Governos e órgãos reguladores também desempenham um papel crucial, não apenas na fiscalização, mas no fornecimento de diretrizes e apoio para a adoção desses modelos regulatórios pelas empresas.

É fundamental destacar a importância da colaboração e do trabalho em equipe na melhoria do desempenho das empresas, especialmente quando se trata de questões tão complexas e fundamentais como a segurança cibernética e a resiliência digital.