Empresas brasileiras devem investir em proteção para atender GDPR

Para a mudança de cenário visando a GDPR, o conjunto “avaliar, proteger e monitorar dados” é o melhor começo para qualquer perfil de empresa

Carlos Rodrigues, Administradores.com,

Desde a aprovação do Marco Civil da Internet, em 2014, a palavra “privacidade” vem ganhando força em tudo que se refere à Internet no Brasil, tanto no uso pessoal quanto no uso corporativo. Mas, ainda assim, a falta de aplicação das normas regulamentadoras predomina, principalmente quando o assunto é segurança. Afinal de contas, segurança requer tempo, investimentos contínuos e recursos (humanos e materiais) para as empresas. E algumas delas relutam em se conscientizar da importância de tudo isso, mesmo tendo exemplos negativos de problemas de vazamento de dados (vide o caso da “Operação Lava Jato”).

De acordo com a pesquisa global divulgada este ano pela Varonis, intitulada Data Risk Report, 47% das empresas de todo o mundo têm mais de mil arquivos sensíveis que ficam expostos a todos os funcionários, enquanto 22% das empresas têm mais de 12 mil arquivos nessa mesma situação. Além disso, 59% não empregam um programa de proteção de acesso aos dados, 62% têm acesso a dados corporativos que não deveriam ser vistos publicamente e 62% não fazem auditoria sobre o uso dos dados e nem têm alertas sobre abuso.

Ao analisarmos o Brasil no contexto da pesquisa, vemos que a situação da segurança de dados também é crítica. Esse cenário vai ter de ser revertido de forma drástica, principalmente no que se refere à forma de coletar e gerenciar os dados da Internet, estejam estes armazenados em ambientes físicos ou virtuais. Essa reversão, que não aconteceu nos últimos quatro anos, vai precisar acontecer em pouquíssimo tempo, pois em 25 de maio de 2018 entra em vigor a Regulamentação Geral da Proteção de Dados (ou GPDR - General Data Protection Regulation), que vai valer mundialmente para todas as empresas que processam dados de pessoas e serviços na União Europeia (UE).

Trazendo a situação para o nosso mercado, significa que todas as empresas brasileiras que lidam com dados de qualquer um dos 28 países da UE vão ter obrigação de se adequar à GDPR, estando sujeitas a multas de até 4% do seu faturamento global anual ou € 20 milhões (aproximadamente R$ 83 milhões) em caso de não cumprimento.

Para a mudança de cenário visando a GDPR, o conjunto “avaliar, proteger e monitorar dados” é o melhor começo para qualquer perfil de empresa. Para isso, deve-se cuidar das informações pessoalmente identificáveis (ou Personally Identifiable Information - PII) que estejam armazenadas em ambiente corporativo, tais como números de CPF e cartão de crédito, entre outros documentos e dados. O ideal é manter a menor quantidade possível de PIIs, apenas as que forem realmente necessárias para a empresa e, ainda assim, com acesso seguro e restrito às pessoas mais indicadas para fazer uso dos dados. Em caso de PIIs totalmente desnecessárias, o ideal é eliminá-las.

O passo seguinte é o mais difícil de ser executado, porém o mais importante para a adaptação à GDPR: identificação dos dados sensíveis armazenados no ambiente corporativo e definição da estratégia de proteção dessas informações.

Como a GDPR também permite que os cidadãos “desautorizem” o uso dos dados fornecidos (por exemplo, em uma compra em loja ou cadastro em site), deve-se garantir a privacidade de todos os dados e das pessoas, sem que haja vazamentos causados por problemas em sistemas internos ou por ação maliciosa de hackers, que estão cada vez mais “inovadores” na forma de atacar as redes empresariais.

É impossível se precaver contra todas as formas possíveis de violação de privacidade para que os negócios não sejam afetados negativamente, no entanto, é possível evitar boa parte das ameaças identificando e classificando dados para, posteriormente, estabelecer controle de acessos, criar políticas de proteção e, inclusive, gerar alertas para vulnerabilidades ou atividades suspeitas.

E não dá pra fazer isso com aplicativos internos criados para situações pontuais (como a necessidade de se adequar a uma nova regulamentação). É fundamental ter uma estratégia minuciosamente desenvolvida e que esteja habilitada para tratar os seus negócios e a questão da privacidade de forma total, não parcial. Exemplo: no caso das empresas que atuam em diversos países da Europa, é preciso contar com plataformas capazes de lidar com todas as peculiaridades que compõem uma UE muito heterogênea, uma vez que os países têm muitas diferenças nos padrões de documentos, finanças, impostos e leis de gestão empresarial, entre outros, além da GDPR.

Os benefícios imediatos são a prevenção contra fraudes, perdas de dados e erros de manuseio. Consequentemente, isso facilita a tomada de decisões de negócios, sejam estas internas (relacionadas à administração) ou externas (relacionadas aos fornecedores e clientes).

Carlos Rodrigues — Vice-presidente da Varonis para a América Latina




Fique informado

Receba gratuitamente notícias sobre Administração