Arquivos LGPD - Página 22 de 29

Publicado em fevereiro 23, 2024fevereiro 23, 2024 por securitylgpd

A IMPORTÂNCIA DO CONTROLE DE TERCEIROS NA PROTEÇÃO DE DADOS CORPORATIVOS

O relatório Global Cybersecurity Outlook 2024, divulgado pelo World Economic Forum em janeiro, indicou que 41% das organizações afetadas por incidentes de segurança no último ano atribuíram a causa a terceiros. Um estudo paralelo da Security Scorecard, “Close encounters of the third (and fourth) party kind”, publicado também em janeiro de 2023, encontrou que 98% das organizações mantêm relações com ao menos um terceiro que sofreu uma violação de segurança nos últimos dois anos. Ademais, revelou que para cada fornecedor direto, as empresas têm, em média, 60 a 90 conexões indiretas.

Esses dados sublinham a importância de uma gestão de riscos cibernéticos mais robusta e consciente, especialmente em relação a terceiros e parceiros de negócios. No âmbito da Lei Geral de Proteção de Dados (LGPD) no Brasil, essa preocupação se acentua, pois os fornecedores que manuseiam dados pessoais em nome das empresas são igualmente responsáveis pela segurança e pelo tratamento adequado dessas informações. Falhas nesse processo podem levar a sanções legais e a consequências negativas para a reputação das empresas envolvidas.

Considerando o cenário brasileiro, um relatório da Trend Micro de 2023 posicionou o Brasil como o segundo país com maior número de ataques cibernéticos, destacando a relevância deste desafio. Foram registradas 85,6 bilhões de ameaças bloqueadas somente no primeiro semestre, o que evidencia a vulnerabilidade das organizações nacionais a ataques que podem paralisar suas operações, como os de ransomware.

É importante que as organizações desenvolvam e implementem estratégias de cibersegurança que incluam uma avaliação rigorosa dos riscos associados a terceiros. Isso envolve não apenas a adoção de práticas de segurança informatizadas adequadas, mas também a garantia de que os parceiros e fornecedores adotem medidas similares para proteger os dados pessoais tratados em nome das empresas contratantes.

A segurança dos dados e a proteção contra riscos cibernéticos exigem uma abordagem integrada e estratégica, que vá além do cumprimento de requisitos legais e envolva todas as partes da cadeia de suprimentos digital. A prevenção de riscos e a adoção de controles de segurança eficazes são essenciais para a sustentabilidade e a resiliência organizacional em um ambiente digital cada vez mais complexo e regulado.

Publicado em fevereiro 22, 2024fevereiro 22, 2024 por securitylgpd

O CAMINHO DA IA SOB A GUARDA DA LEGISLAÇÃO BRASILEIRA

A integração da inteligência artificial (IA) na sociedade traz consigo desafios significativos para a privacidade, liberdade e equidade, exigindo uma regulamentação cuidadosa para prevenir abusos. A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil é um exemplo de como a legislação pode ser empregada para tutelar direitos fundamentais, impondo diretrizes claras sobre o tratamento de dados pessoais. Esta lei destaca o princípio da não discriminação e proíbe o uso de dados para fins ilícitos, estabelecendo um quadro ético para o uso de tecnologias de IA.

A correlação entre a IA e a proteção de dados é direta, visto que os sistemas de IA dependem do processamento de grandes volumes de dados para aprender e melhorar. Os modelos de IA, como os sistemas generativos, que podem criar conteúdo novo a partir de dados existentes, exemplificam a capacidade da IA de transformar e gerar novas informações. Este processo, contudo, não está isento de riscos, especialmente quando não regulamentado ou monitorado adequadamente.

Incidentes em que algoritmos de IA conduziram a práticas discriminatórias ilustram as potenciais falhas éticas e sociais dessas tecnologias. Tais casos evidenciam a necessidade de uma abordagem regulatória que assegure que a IA seja desenvolvida e aplicada de maneira justa e transparente. A LGPD aborda essa questão ao oferecer aos indivíduos o direito de revisar decisões automatizadas, promovendo a accountability e a intervenção humana nos processos decisórios automatizados.

A implementação de “sandboxes” regulatórios, supervisionados pela Autoridade Nacional de Proteção de Dados, representa uma iniciativa para fomentar a inovação responsável em IA. Estes ambientes permitem que novas tecnologias sejam exploradas de maneira controlada, equilibrando inovação com proteção de dados.

A tramitação de projetos de lei específicos para a regulamentação da IA no Brasil sinaliza um reconhecimento da importância de estabelecer princípios éticos e legais sólidos para orientar o desenvolvimento e uso da IA. Estes esforços legislativos enfatizam a transparência, a avaliação de riscos e a necessidade de proteger os direitos fundamentais frente ao avanço tecnológico.

A evolução da IA deve ser acompanhada por um diálogo contínuo entre desenvolvedores, legisladores, a sociedade civil e outros interessados. Essa abordagem colaborativa é vital para garantir que a IA seja utilizada de forma ética e responsável, respeitando os direitos fundamentais e promovendo uma sociedade mais justa e inclusiva. A regulamentação, como a LGPD e futuras legislações sobre IA, desempenha um papel importante em moldar um futuro em que a tecnologia e a ética caminham lado a lado.

Publicado em fevereiro 21, 2024fevereiro 21, 2024 por securitylgpd

AMPLIANDO A SEGURANÇA CIBERNÉTICA ATRAVÉS DA GESTÃO DE FORNECEDORES

No panorama atual da segurança cibernética, relatórios como o Global Cybersecurity Outlook 2024, divulgado pelo World Economic Forum, e estudos complementares, como o da Security Scorecard, trazem à tona dados importantes sobre a incidência de incidentes de segurança envolvendo terceiros. Esses documentos revelam que uma proporção significativa de organizações enfrenta desafios relacionados à segurança devido a vulnerabilidades presentes em sua cadeia de fornecedores e parceiros.

A relação entre empresas e seus fornecedores no contexto da Lei Geral de Proteção de Dados (LGPD) destaca a importância de uma gestão de riscos eficaz. Fornecedores, como agentes de tratamento de dados, compartilham a responsabilidade legal sobre a segurança e o tratamento adequado dos dados pessoais. Incidentes de segurança não apenas levantam questões de conformidade legal, mas também podem resultar em sanções e impactos operacionais significativos para as empresas envolvidas.

Diante dessa realidade, é essencial para as organizações implementarem processos robustos de avaliação e gestão de seus fornecedores. Esse processo começa com a identificação e avaliação dos riscos associados à cadeia de fornecimento, seguido de uma análise detalhada (due diligence) da capacidade dos fornecedores em aderir às práticas de segurança da informação e proteção de dados. Estabelecer contratos claros que definam responsabilidades e obrigações é um passo crítico, assim como o monitoramento contínuo do desempenho dos fornecedores em relação à segurança dos dados.

No Brasil, a preocupação com a segurança cibernética é particularmente relevante, considerando-se o alto volume de ameaças cibernéticas identificadas. Essa realidade sublinha a necessidade de uma abordagem proativa e diligente para a gestão da segurança da informação, tanto internamente quanto na relação com terceiros.

Para as empresas, adotar uma estratégia eficaz de gestão de fornecedores não é apenas uma questão de conformidade legal, mas também uma medida prudente para mitigar riscos e proteger a continuidade do negócio. Isso envolve a implementação de práticas de segurança da informação, a realização de auditorias regulares e a promoção de uma cultura de proteção de dados em toda a cadeia de suprimentos.

A segurança cibernética no contexto das relações entre empresas e fornecedores requer uma abordagem equilibrada e informada. Através da adoção de práticas de gestão de riscos eficazes e do estabelecimento de parcerias sólidas baseadas na confiança e na transparência, as organizações podem fortalecer sua postura de segurança e garantir a proteção dos dados pessoais dos quais são responsáveis.

Publicado em fevereiro 19, 2024fevereiro 19, 2024 por securitylgpd

A INICIATIVA DA ANPD SOBRE ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO

A Autoridade Nacional de Proteção de Dados (ANPD) deu um passo importante ao lançar, no dia 30 de janeiro de 2024, uma consulta pública sobre a minuta de um guia detalhado para a anonimização e pseudonimização de dados pessoais. Este guia, que faz parte da Agenda Regulatória da ANPD para 2023-2024, visa esclarecer e orientar o uso dessas técnicas sob a égide da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018.

A LGPD introduziu conceitos fundamentais relacionados à anonimização e pseudonimização, processos pelos quais os dados pessoais são transformados de forma a prevenir a identificação direta ou indireta de indivíduos. A ANPD, reconhecendo a necessidade de diretrizes claras, propõe neste guia um aprofundamento nos conceitos e práticas, diferenciando dados anonimizados de anônimos, e introduzindo termos como dados auxiliares e identificadores diretos e indiretos.

Um ponto destacado pela ANPD é a reversibilidade potencial da pseudonimização, em contraste com a irreversibilidade da anonimização. A pseudonimização permite a reidentificação sob circunstâncias controladas, enquanto a anonimização visa eliminar permanentemente a possibilidade de vincular os dados ao indivíduo.

O guia enfatiza que a anonimização não deve ser vista apenas como um fim, mas como um processo complexo que deve respeitar os princípios da LGPD. Isso inclui garantir que a anonimização não sirva para legitimar tratamentos de dados originalmente não conformes com a lei. Além disso, a ANPD adverte sobre os riscos de reidentificação e a importância de avaliar esses riscos de maneira cuidadosa, adotando uma abordagem baseada em risco para a anonimização.

A consulta pública vai além ao abordar a pseudonimização, sugerindo uma metodologia detalhada para sua implementação, que inclui a seleção de técnicas adequadas e a proteção das chaves e algoritmos usados no processo. Essas diretrizes são fundamentais para assegurar que as práticas de tratamento de dados estejam alinhadas com os mais altos padrões de segurança e privacidade.

Além disso, a ANPD abriu espaço para discussões sobre os direitos dos titulares de dados, lançando uma tomada de subsídios com foco em como os controladores devem facilitar o exercício desses direitos. Este debate abrange desde a transparência no tratamento dos dados até a portabilidade, correção e eliminação dos mesmos, enfatizando a necessidade de processos que respeitem tanto a legislação vigente quanto os interesses dos indivíduos.

Essas iniciativas da ANPD não apenas reforçam o compromisso do Brasil com a proteção de dados pessoais, mas também estabelecem um marco regulatório que orienta as organizações na adoção de práticas responsáveis e transparentes de tratamento de dados. As contribuições para a consulta pública e a tomada de subsídios, abertas até 28 de fevereiro e 4 de março de 2024, respectivamente, são passos vitais para a construção de um ambiente digital mais seguro e confiável para todos.

Publicado em fevereiro 15, 2024fevereiro 15, 2024 por securitylgpd

ESTRATÉGIAS DE ANONIMIZAÇÃO PARA COMPLIANCE E LIBERDADE DE USO

A transformação de dados pessoais em anônimos é uma etapa crítica para atender às exigências impostas por regulamentos e princípios éticos, econômicos, estruturais e legais. Esta prática se tornou um componente indispensável nas estratégias de conformidade, especialmente sob as diretrizes de proteção de dados. Anonimizar dados serve como uma ponte vital, permitindo a transição de informações pessoais para um domínio onde podem ser livremente utilizadas, garantindo uma maior liberdade na manipulação de dados sem infringir as normas de privacidade.

Com a promulgação de leis de proteção de dados, empresas e organizações enfrentam o desafio de reavaliar suas operações de análise de dados. Estas legislações enfatizam a importância de limitar o uso de informações ao mínimo necessário para cumprir objetivos específicos, condenando o acúmulo de dados sem finalidades explícitas. Neste cenário, a anonimização emerge como uma solução essencial, permitindo a continuidade do uso de dados analíticos enquanto se mantém em conformidade com as restrições legais.

Entretanto, a implementação efetiva dessa técnica encontra obstáculos. A legislação apresenta disposições fragmentadas sobre o assunto, há uma carência de estudos acadêmicos detalhados e, até o momento, falta orientação regulatória clara sobre as melhores práticas de anonimização. Isso cria um ambiente de incerteza para aqueles que buscam se alinhar às exigências da legislação de proteção de dados.

Apesar desses desafios, a aplicação da anonimização é não apenas viável, mas também recomendável. Ela requer uma compreensão de que o processo de tornar os dados anônimos é, em si, uma forma de tratamento de dados, exigindo conformidade com as normas de proteção de dados até que a anonimização seja concluída. Além disso, é necessário reconhecer que a eficácia da anonimização depende do contexto e da capacidade de reversão, o que significa que as técnicas utilizadas devem ser periodicamente revisadas para garantir que continuem sendo eficazes à luz de novas tecnologias e métodos de análise.

Importante também é a identificação dos limites da anonimização, que podem ser categorizados em termos de suas características intrínsecas, a relação com outros dados disponíveis e os desafios éticos e legais associados ao seu uso. Estas considerações sublinham a importância de uma escolha informada e consciente dos riscos ao optar pela anonimização.

A compreensão aprofundada e a aplicação cuidadosa dessa técnica beneficiam todos os envolvidos. Para os indivíduos, oferece uma camada adicional de proteção de privacidade. Para as entidades que processam dados, fornece uma ferramenta que possibilita o uso inovador e legal das informações. E para a sociedade, fomenta um debate vital sobre as práticas éticas na utilização de dados.

Portanto, a anonimização representa uma abordagem estratégica essencial na era da proteção de dados, facilitando a inovação e o avanço tecnológico de maneira responsável e conforme às exigências legais e éticas.

Publicado em fevereiro 8, 2024fevereiro 8, 2024 por securitylgpd

EMPRESAS FRENTE A DESAFIOS JUDICIAIS POR FRAUDES ELETRÔNICAS

Em um ambiente digital cada vez mais complexo, a importância da segurança online é enfatizada pelo Dia Internacional da Internet Segura, comemorado em 6 de fevereiro. Um estudo realizado pela Deep Legal, uma empresa especializada em inteligência de dados e gestão preditiva, destaca um dado preocupante: em 60% dos processos judiciais relacionados a fraudes eletrônicas, as empresas são responsabilizadas, ao menos em parte, por danos sofridos pelos clientes devido a esses golpes.

A análise, baseada em 10.000 casos judiciais brasileiros, aponta que o setor financeiro, de telecomunicações e de varejo são os mais afetados por reclamações de consumidores relacionadas a fraudes digitais. Utilizando técnicas de Legal Analytics, a Deep Legal conseguiu mapear as principais tendências e decisões judiciais, oferecendo uma perspectiva valiosa sobre a responsabilização das empresas nesses casos.

Apesar de os consumidores frequentemente compartilharem seus dados, as empresas têm a responsabilidade de informá-los sobre potenciais golpes envolvendo suas marcas. A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil, impõe penalidades severas às empresas que negligenciam a segurança dos dados dos clientes.

O aumento significativo dos casos de estelionato digital, que cresceram 65,1% em 2022 em comparação com o ano anterior, segundo o Anuário Brasileiro de Segurança Pública 2023, sublinha a necessidade urgente de medidas de proteção eficazes. As penalidades previstas pela LGPD incluem advertências, multas de até R$50 milhões, publicização da infração e, em casos mais graves, suspensão ou bloqueio das bases de dados.

A Deep Legal se apresenta como uma ferramenta inovadora para empresas e escritórios jurídicos, oferecendo soluções baseadas em inteligência artificial e gestão preditiva que transformam dados judiciais em insights estratégicos. O objetivo é auxiliar na gestão de volumes judiciais, permitindo uma tomada de decisão mais informada e estratégica, ao mesmo tempo em que se antecipa tendências e se minimiza riscos legais.

Publicado em fevereiro 6, 2024fevereiro 6, 2024 por securitylgpd

CONVERGÊNCIA ENTRE LGPD E NORMAS ISO PARA A SEGURANÇA DA INFORMAÇÃO

No atual cenário tecnológico, onde a digitalização avança a passos largos, a privacidade e a segurança de dados pessoais surgem como pilares essenciais. A coleta, o processamento e o armazenamento de informações pessoais em plataformas online exigem uma abordagem robusta e regulamentada para assegurar a proteção desses dados. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (LGPD), sob o número 13.709/18, destaca-se como um marco legal, impondo aos responsáveis pelo tratamento de dados a obrigação de adotar medidas de segurança eficazes contra acessos indevidos e outras ameaças.

A norma ISO 27017, publicada em 2016 e dedicada à segurança da informação especificamente em ambientes de nuvem, oferece diretrizes detalhadas para reforçar a proteção de dados pessoais. Essa norma amplia os princípios da ISO 27001, adaptando-os aos desafios particulares da computação em nuvem, e fornece um conjunto de controles específicos para a gestão de informações sensíveis armazenadas nesses serviços.

A sinergia entre a LGPD e a ISO 27017 é evidente, pois ambas direcionam esforços para garantir a integridade, a confidencialidade e a disponibilidade dos dados pessoais. Eles compartilham o objetivo de proteger as informações contra violações, promovendo a adoção de práticas de segurança robustas, o respeito pela privacidade dos titulares dos dados e a transparência no tratamento dessas informações.

Além disso, a LGPD incentiva a criação de políticas de governança e boas práticas que abrangem desde a organização dos processos de tratamento até a resposta a incidentes, passando pela educação e pela conscientização sobre a importância da proteção de dados. Esse enfoque proativo é complementado pela ISO 27017, que especifica controles para gerenciar riscos associados à computação em nuvem, incluindo a seleção cuidadosa de fornecedores e a implementação de técnicas avançadas de segurança, como a criptografia e o backup regular de dados.

A adesão conjunta à LGPD e à ISO 27017 não só assegura o cumprimento das obrigações legais, mas também fortalece as medidas de segurança na nuvem, melhorando a postura geral de segurança das organizações. Isso reduz significativamente o risco de incidentes de segurança e vazamentos de dados, ao mesmo tempo em que eleva a confiança dos usuários e das partes interessadas na capacidade da organização de proteger as informações pessoais.

Em um mundo cada vez mais conectado e dependente de soluções em nuvem, a conscientização sobre a importância da segurança de dados e a implementação de padrões reconhecidos internacionalmente, como a ISO 27017, são fundamentais. Tais práticas não apenas cumprem com as exigências legais, mas também promovem uma cultura de segurança e privacidade, essenciais para a sustentabilidade das atividades empresariais na era digital.

A integração da LGPD com a ISO 27017 representa uma abordagem holística para enfrentar os desafios da proteção de dados na nuvem, enfatizando a importância de medidas preventivas e a construção de um ambiente digital seguro e confiável para todos os envolvidos.

Publicado em fevereiro 6, 2024fevereiro 6, 2024 por securitylgpd

SUPREMO TRIBUNAL EXIGE NORMAS PARA FERRAMENTAS DE MONITORAMENTO SECRETO

O Supremo Tribunal Federal, em uma ação que reflete a tensão entre as necessidades de investigação do Estado e os direitos fundamentais dos cidadãos, estabeleceu um prazo de dez dias para que o legislativo forneça detalhes acerca da regulamentação do uso de ferramentas de vigilância eletrônica – especificamente, softwares capazes de monitorar secretamente dispositivos pessoais como celulares e tablets.

Esta ação tem por objetivo fornecer ao relator da corte as informações necessárias para uma análise sobre a ausência de regulamentação específica para o uso de tecnologias de infiltração digital por parte de órgãos e agentes públicos. A situação contrasta com a lentidão legislativa em adaptar-se às novas realidades, deixando lacunas em matéria de proteção à privacidade e aos dados pessoais dos cidadãos.

O pedido central dessa iniciativa jurídica é compelir o Congresso a estabelecer, dentro de um prazo considerado razoável, uma normativa clara e efetiva que regule essas práticas, abordando diretamente a necessidade de salvaguardar os direitos à intimidade, à vida privada e à proteção do sigilo das comunicações e dos dados pessoais. Tais direitos já são parcialmente protegidos por legislações existentes, como o Marco Civil da Internet e a Lei Geral de Proteção de Dados Pessoais (LGPD), mas ainda carecem de diretrizes específicas quando se trata de infiltração virtual remota por entidades governamentais.

Além da solicitação de informações ao legislativo, foram definidos prazos adicionais para que tanto a Advocacia-Geral da União (AGU) quanto a Procuradoria-Geral da República (PGR) apresentem suas manifestações, reiterando a importância de uma deliberação rápida e fundamentada sobre a questão. Este caso, tratado sob um procedimento especial previsto na legislação das ações diretas de inconstitucionalidade, sinaliza a urgência e a relevância de atualizar o arcabouço legal para endereçar os desafios impostos pela era digital, enfatizando a primazia dos direitos fundamentais em um contexto de crescente vigilância tecnológica.

Publicado em fevereiro 1, 2024fevereiro 1, 2024 por securitylgpd

COMO O BRASIL ESTÁ ELEVANDO SUAS DEFESAS CIBERNÉTICAS PARA AS ELEIÇÕES DE 2024

À medida que o Brasil se prepara para as eleições municipais de 2024, a cibersegurança tornou-se um tópico de importância fundamental. A recente implementação da Política Nacional de Cibersegurança (PNCiber) é um claro indicativo do esforço do país para fortalecer as defesas contra crimes cibernéticos. Essa iniciativa é especialmente relevante para prevenir abusos, como os disparos em massa via WhatsApp, que infringem a Lei Geral de Proteção de Dados (LGPD).

Especialistas em cibersegurança apontam que as atualizações legais são fundamentais na proteção contra ameaças digitais e na salvaguarda dos direitos individuais em um mundo cada vez mais conectado. Eles destacam que sem a garantia de proteção e privacidade, não apenas as multas são uma preocupação, mas também a própria estrutura de uma democracia digitalizada fica em risco.

No contexto político, as eleições são particularmente suscetíveis a ataques cibernéticos, com os dados dos eleitores podendo ser alvos de manipulação e exploração. Para as eleições de 2024, reforçar a proteção de dados e a cibersegurança é essencial para assegurar a integridade do processo eleitoral e proteger os direitos fundamentais dos cidadãos.

Implementar medidas robustas de segurança cibernética e aderir a regulamentações, como a LGPD, é crucial. Tanto empresas quanto órgãos governamentais precisam estar preparados para enfrentar possíveis ameaças cibernéticas, adotando medidas proativas para proteger dados e garantir a transparência e confiabilidade das eleições.

Para evitar ataques e vazamentos de dados, é recomendada uma estratégia que englobe pessoas, processos e tecnologias. Treinamentos e simulações de ataques de engenharia social devem ser realizados periodicamente. Em termos de processos, é vital seguir padrões de mercado no tratamento de dados sensíveis, como o PCI-DSS na indústria financeira.

No aspecto tecnológico, é importante escolher soluções que suportem a segurança em nuvem pública, incluindo autenticação de dois fatores, políticas de senha robustas, segurança de e-mail e criptografia de dados. Estas tecnologias devem complementar os outros dois pilares, formando uma solução de segurança integrada.

A necessidade de proteção contra ciberataques é urgente, considerando os potenciais prejuízos financeiros e danos à reputação. A busca por consultoria especializada em segurança é fundamental para uma avaliação de risco adequada e para o desenvolvimento de um plano de remediação eficaz, reduzindo as chances de ataques bem-sucedidos.

Publicado em fevereiro 1, 2024fevereiro 1, 2024 por securitylgpd

COMO A EXPOSIÇÃO DE DADOS DESAFIA AS LEIS DE PROTEÇÃO

A recente descoberta da exposição pública de dados pessoais de cidadãos em um estado brasileiro, através de sites oficiais de órgãos governamentais, levanta sérias preocupações sobre a privacidade e segurança de informações sensíveis na era digital. Este incidente revela uma falha crítica na proteção de dados pessoais, incluindo nomes completos, números de identificação e endereços, que foram encontrados facilmente disponíveis para o público em geral. A Lei Geral de Proteção de Dados (LGPD), implementada para salvaguardar tais informações e exigir a anonimização de dados quando sua publicação se faz necessária, parece ter sido negligenciada neste caso.

Especialistas no campo da proteção de dados e tecnologia da informação ressaltam a importância fundamental de assegurar que os dados pertençam e sejam protegidos em favor do cidadão. A exposição não autorizada de informações pessoais não apenas compromete a privacidade, mas também expõe os indivíduos a riscos significativos, incluindo fraudes e outros delitos cibernéticos.

Em resposta à situação, órgãos governamentais envolvidos têm comunicado esforços para se alinhar às exigências da LGPD, destacando iniciativas para melhorar a governança de dados e a transparência para o público. A Autoridade Nacional de Proteção de Dados (ANPD), por sua vez, enfatiza a importância de equilibrar a necessidade de transparência governamental com a proteção rigorosa dos dados pessoais, conforme também delineado pela Lei de Acesso à Informação (LAI).

A conformidade com a LGPD é reconhecida como um processo desafiador, que exige uma transformação substancial na cultura organizacional e nos procedimentos internos. A legislação estabelece diretrizes claras para o tratamento de dados, além de prever sanções severas para violações. Embora a aplicação dessas sanções a entidades governamentais ainda seja um assunto de debate, a necessidade de proteção de dados é indiscutível.

Para indivíduos cujos dados foram expostos, é necessário tomar medidas imediatas, procurando primeiro o responsável pelo tratamento dos dados e, se necessário, acionando os canais oficiais de denúncia. A conscientização sobre os direitos individuais e os mecanismos de defesa disponíveis é essencial para fortalecer a proteção de dados pessoais contra usos indevidos e vazamentos no cenário digital atual.

Publicado em janeiro 29, 2024janeiro 29, 2024 por securitylgpd

ESTRUTURANDO A PRIVACIDADE: DIRETRIZES E DESAFIOS SOB A LGPD NO BRASIL

A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, sob a Lei nº 13.709/18, estabelece diretrizes para o tratamento de dados pessoais. Uma das exigências mais significativas, encontrada no artigo 50 da LGPD, é a implementação de práticas de governança e boas práticas por parte dos agentes de tratamento de dados, incluindo tanto os controladores quanto os operadores. Este mandato legal abrange a criação de padrões técnicos, iniciativas educativas, supervisão rigorosa e medidas para minimizar os riscos associados ao tratamento de dados pessoais.

Aprofundando-se na seção 2 do mesmo artigo, a lei exige especificamente dos controladores a implementação de um programa de governança em privacidade. Este programa deve atender a requisitos essenciais, tais como:

(a) uma demonstração explícita do compromisso do controlador com a adoção de políticas e práticas que salvaguardem os dados pessoais;

(b) a inclusão de todos os dados pessoais sob seu domínio;

(c) adequação às dimensões e especificidades das operações da entidade e à sensibilidade dos dados processados;

(d) o estabelecimento de políticas e medidas de segurança baseadas em avaliações de risco;

(e) transparência para fomentar a confiança dos titulares dos dados;

(f) integração com a estrutura de governança corporativa, incluindo supervisão interna e externa;

(g) elaboração de um plano para responder e remediar incidentes de privacidade;

(h) atualização e aprimoramento contínuos, seguindo, por exemplo, o ciclo PDCA (planejar, fazer, verificar, agir).

Entretanto, mais do que cumprir uma obrigação legal, o programa de governança em privacidade visa incutir uma cultura robusta de proteção de dados dentro da organização. Isso implica em demonstrar para a sociedade que a instituição e sua alta administração estão verdadeiramente comprometidas com a privacidade, alinhando-se aos princípios de boa-fé, transparência, responsabilização e prestação de contas, conforme estipulado no art. 6º da LGPD.

O primeiro passo para implementar esse programa é a formulação de uma declaração de missão ou visão relativa à privacidade. Esta declaração deve comunicar de forma sucinta e clara o compromisso da organização com a privacidade. Ela deve servir como um guia e um elemento-chave para o estabelecimento de uma base sólida para um programa de privacidade que atenda às realidades e expectativas da organização, dos titulares de dados e de todas as partes interessadas.

A declaração de missão deve refletir o motivo pelo qual a privacidade é um valor fundamental para a organização, definindo sua postura em relação a este tema essencial. Esta declaração deve ser breve, clara e facilmente compreensível, descrevendo o propósito e os ideais da organização.

Em outras palavras, a declaração de missão deve articular a aspiração da organização em relação à privacidade. Ela deve estabelecer um objetivo claro, a ser alcançado através de ações concretas, que visem construir uma relação de confiança com os titulares dos dados pessoais.

Por fim, é importante destacar que o programa de governança em privacidade é igualmente necessário para entidades do setor público. A declaração da missão de privacidade, que pode ser parte integrante da Política de Privacidade, é vital para fomentar uma cultura de privacidade e proteção de dados no setor público. Somente assim, o direito fundamental à proteção de dados pessoais, agora assegurado na Constituição Brasileira pela Emenda Constitucional nº 115 de 2022, será efetivamente respeitado em todas as organizações, sejam elas públicas ou privadas.

Publicado em janeiro 29, 2024janeiro 29, 2024 por securitylgpd

ENTENDENDO O MAPA DE TEMAS PRIORITÁRIOS DA AUTORIDADE NACIONAL

A Autoridade Nacional de Proteção de Dados, responsável pela proteção de dados pessoais e pela aplicação da legislação específica de proteção de dados no Brasil, revelou recentemente seu Mapa de Temas Prioritários. Este documento é um plano de ação estratégico que define as áreas prioritárias para os próximos dois anos, sendo crucial para as empresas que buscam se adequar às normas de proteção de dados e melhorar suas práticas de cibersegurança.

O plano estabelece quatro eixos de atuação. O primeiro se concentra nos direitos dos titulares de dados, com ações de fiscalização voltadas para o tratamento de dados por entidades governamentais, plataformas digitais, e setores financeiro e de telecomunicações. Esta iniciativa inclui a colaboração com outras instituições reguladoras, prevendo uma série de atividades de fiscalização para este ano.

O segundo eixo aborda a proteção de dados pessoais de crianças e adolescentes no ambiente digital. Aqui, o foco é assegurar que os direitos deste grupo sejam salvaguardados, com medidas específicas para verificar o consentimento e a idade em plataformas digitais. As ações planejadas começarão no segundo semestre deste ano e se estenderão até 2025.

O terceiro eixo foca no uso da inteligência artificial em sistemas de reconhecimento facial e no tratamento de dados pessoais, identificando riscos e assegurando a conformidade com a legislação de proteção de dados. A fiscalização será intensificada, especialmente em áreas de acesso público.

Finalmente, o quarto eixo se dedica à raspagem e agregação de dados, onde a autoridade planeja realizar atividades de fiscalização e estabelecer diretrizes para garantir que tais práticas estejam em conformidade com a legislação vigente, com ações previstas para começar no próximo ano.

Especialistas em cibersegurança enfatizam a importância dos investimentos em segurança digital como uma medida preventiva face às diretrizes estabelecidas. Recomenda-se que as empresas implementem ferramentas robustas de segurança para o tratamento adequado de dados e prevenção de vazamentos. Além disso, destacam a importância de ampliar as abordagens de segurança e a conscientização dos funcionários, dado o aumento de ataques de sequestro e roubo de dados.

Para complementar, a capacitação dos funcionários é vista como um elemento essencial na estratégia de cibersegurança. A formação e o aperfeiçoamento contínuo em segurança digital são fundamentais para fortalecer as defesas contra ameaças cibernéticas.

Em resumo, as diretrizes da Autoridade Nacional de Proteção de Dados representam um marco importante para as empresas no Brasil. Elas devem estar atentas e preparadas para se adaptar a estas novas exigências, investindo tanto em tecnologia de segurança quanto na capacitação de seus colaboradores.