Tecnologia e inovação

Tudo sobre LGPD e segurança de dados

21 de setembro de 2020

Em agosto de 2018, o então presidente Michel Temer sancionou a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). Baseada na legislação europeia General Data Protection Regulation, a LGPD foi criada como forma de proteger os direitos de liberdade e privacidade da população brasileira ou estrangeira que vive no país, fomentando a segurança de dados.

Apesar de muito importante para a criação e definição de diretrizes de segurança de dados, esta lei impacta diretamente a forma com que as corporações sempre trabalharam. 

Empresas de marketing, por exemplo, que precisam de dados sobre futuros clientes para conduzir suas ofertas, devem criar novos métodos de aproximação com o público. Será preciso realizar uma coleta de dados mais transparente, com expresso consentimento de quem cede os dados.

Se você é um executivo de marketing e quer entender melhor de que forma a LGPD poderá impactar seus processos e como começar a colocar a segurança de dados em prática, continue a leitura deste post.  

O que é segurança de dados

É quase impossível entender exatamente como adequar seus negócios à Lei Geral de Proteção de Dados sem antes compreender um outro assunto: a segurança de dados.

De acordo com a pesquisa Global DataSphere, da IDC, mais de 59 zettabytes (ZB) de dados serão criados, capturados, copiados e consumidos no mundo apenas em 2020. A quantidade de dados criados nos próximos três anos será maior que a dos últimos 30. E o mundo gerará três vezes mais dados nos próximos cinco anos, em comparação com os cinco anteriores.

O advento da internet, o grande boom da transformação digital e a popularização das tecnologias emergentes, principalmente os sensores em IoT, são os grandes responsáveis por este aumento descomunal.

O que acontece é que tudo que é conectado à internet, cada sensor, câmera de vigilância, dispositivo móvel, mídias sociais, gera uma quantidade ininterrupta de dados, que tem extrema importância para todos os tamanhos e nichos empresariais. 

Quando utilizados em conjunto com ferramentas baseadas em Big Data e machine learning, são capturados, estruturados e analisados, gerando importantes insights sobre crescimento, investimentos, processos e ações de marketing. 

Porém, sem a necessária segurança de dados, contas bancárias, interações nas redes sociais, históricos médicos, entre tantas outras informações acabam desprotegidas e de fácil acesso para a ação de cibercriminosos. 

Ou seja, aquelas informações importantes que poderiam ser usadas como estratégia de crescimento e desempenho de empresas, acabam nas mãos de criminosos.

A LGPD, então, foi criada com o intuito de definir diretrizes de segurança de dados para proteger não apenas corporações, mas também dados pessoais de toda a população.

LGPD: quais dados a Lei protege?  

De acordo com os textos que regem a LGPD:

Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Fonte: Planalto

A lei determina que quaisquer pessoas que lidem com tratamento de dados pessoais, sejam elas físicas ou jurídicas, atuem sob 10 princípios descritos na lei como forma de proteger a privacidade, segurança e a identidade dos indivíduos. 

Neste caso, a expressão “tratamento de dados” equivale aos inúmeros processos que as informações passam para poderem ser lidas e analisadas, como coleta, classificação, reprodução, distribuição, armazenamento, eliminação, modificação, entre outros. 

Para tornar a função da lei LGPD mais clara, vamos detalhar melhor quais são os dados que ela protege e quais são as premissas exigidas por ela. 

1 – Quais tipos de dados são protegidos pela LGPD?

Dados pessoais: são todas as informações que podem ser usadas para identificar ou tornar identificável uma pessoa.  

Dados pessoais sensíveis: são as informações que demonstram detalhes físicos e privados dos indivíduos, como etnia, religião, problemas de saúde, dados genéticos ou biométricos, entre outros. Estes dados são chamados sensíveis porque, além de pessoais, ainda podem classificar a população em grupos e sujeitá-los a certos tipos de tratamentos. 

Dados anonimizados: são todas aquelas informações que, mesmo se usadas sob ferramentas de análise, são impossíveis de identificar o titular. Para a LGPD, este é o tipo ideal de dados a serem compartilhados.

2 – Quais são os princípios exigidos na lei para proteger e assegurar os dados pessoais?

  • Finalidade: os tratamentos de dados só podem ser usados para fins específicos e sob consentimento do titular. Além disso, não podem passar por nenhum tipo de uso posterior que tenha qualquer finalidade diferente do primeiro uso. 
  • Adequação: o uso dos dados deve ser exatamente aquele que o titular consentiu. 
  • Necessidade: o profissional ou ferramenta de coleta de dados deve adquirir apenas o mínimo de informação necessária para cumprir sua finalidade. 
  • Livre acesso: os titulares dos dados podem consultar sempre que quiserem e gratuitamente todos os seus dados em posse do coletor/empresa. 
  • Qualidade dos dados: os responsáveis pelo tratamento de dados devem garantir que o titular entenda os objetivos de coleta e receba atualizações de acordo com os processos do tratamento. 
  • Transparência: o coletor ou empresa de tecnologia deve garantir aos titulares dos dados informações claras e precisas, com acesso fácil aos processos de tratamento. 
  • Segurança: é obrigação do coletor utilizar todas as medidas técnicas e administrativas para garantir a segurança de dados contra ciberataques e possíveis perdas e acidentes. 
  • Prevenção: a lei obriga que medidas sejam tomadas para prevenir danos que possam ocorrer durante o tratamento de dados pessoais.
  • Não discriminação: é terminantemente proibido que a coleta de dados seja usada para fins discriminatórios, ilícitos ou abusivos.
  • Responsabilização e prestação de contas: os responsáveis pela coleta e tratamento de dados devem adotar medidas que garantam o cumprimento das normas de proteção de dados pessoais e prestar contas sobre elas. 

Em síntese: é de responsabilidade de quem coleta e faz o tratamento de dados garantir a proteção da imagem e da privacidade dos titulares, bem como a segurança dessas informações.

A seguir, vamos discutir um pouco mais sobre a questão da privacidade e segurança de dados.    

Privacidade e segurança de dados

Com a lei GDPR já em vigor pela Europa e a LGPD em iminência de entrar em ação no Brasil, a privacidade se tornou uma questão de grande preocupação para líderes de empresas. 

Como salientado acima, os requisitos de privacidade e segurança de dados afetam inúmeras áreas das empresas, sobretudo as estratégias, objetivos e métodos com os quais as organizações sempre fizeram o processamento de dados pessoais. 

Mas os desafios não param por aí. Não obedecer aos requisitos da lei pode acarretar danos e multas elevadíssimas, de até R$ 50 milhões ou 2% do faturamento total da empresa.

Com foco no emprego das leis de proteção de dados e privacidade, o Gartner analisou três previsões. Elas podem ser muito úteis para quem está buscando maior transparência e privacidade aos titulares dos dados e aos processos de tratamento na empresa tech. 

Mas vamos destacar a mais importante das três:  

Backup e arquivamento de dados:

Segundo o Gartner, o backup e o arquivamento de dados é o processo que apresenta maior risco para as corporações, sendo um desafio para 70% delas. 

O que acontece é que inúmeras empresas acabam armazenando dados sensíveis sem nenhum tipo de utilização clara iminente, tornando-os potencialmente vulneráveis. É necessário que as empresas revisem o arquivamento de dados o mais rápido possível, já que a lei de proteção de dados introduz multas regulatórias para a não-conformidade de dados sensíveis sem utilização.  

As outras duas previsões mostram o uso do blockchain como facilitador da busca pela maturidade da privacidade e proteção de dados. 

O Gartner diz que, até 2023, mais de 25% dos recursos que garantem as provas de consentimento exigidas pelas leis de proteção envolverão a tecnologia blockchain. No entanto, para muitas empresas, contar com este tipo de investimento ainda não é uma realidade. 

Quem é da área de marketing tech deve fazer o quê?

Para estes casos, sobretudo para as agências de marketing, que dependem da análise de dados para criar estratégias assertivas, 3 passos podem ser muito úteis na adequação ao compliance exigido pela LGPD: 

1 – Peça consentimento

As estratégias de inbound marketing e marketing de conteúdo só são eficientes quando criadas com base nos comportamentos e gostos específicos do público-alvo. Ou seja, o tratamento de dados pessoais é fundamental na criação de ações digitais assertivas.

Para estar de acordo com as exigências da LGPD é necessário agir com transparência, pedindo o consentimento do titular e explicando com clareza como os dados serão usados.

2 – Faça uma varredura no banco de dados

É válido lembrar que faz parte das exigências da lei armazenar apenas o mínimo necessário de dados e apenas aqueles que foram consentidos. Faça uma varredura da sua base de leads para identificar quais deles estão de acordo com o compliance e estabeleça uma estratégia de reengajamento para garantir o consentimento dos demais titulares.

3 – Estude as regras específicas de cada rede social ao fazer anúncios 

Com a lei LGPD, o Facebook, por exemplo, já começou a pedir permissão antes da coleta de qualquer dado e já tornou mais fácil o acesso dos titulares aos dados armazenados. 

Porém o que acontece é que a responsabilidade sobre o tratamento é diferente em relação aos tipos de campanhas. Durante o remarketing do Facebook, em que o anúncio é dirigido aos usuários que já interagiram com a marca, os cookies são salvos nos bancos de dados da agência de marketing, tornando-a responsável pela proteção destes dados.

Ou seja, cada campanha exige ações diferentes que devem ser estudadas com cautela para que estejam de acordo com a LGPD. 

Até agora, neste post, nós já oferecemos uma visão geral sobre a relação entre a lei LGPD e a segurança de dados e mostramos alguns processos simples de implementação da privacidade no dia a dia do marketing tech. Mas como garantir que os dados armazenados estão seguros? Como ter certeza que a empresa está protegida do cibercrime? Confira agora!

Criptografia e segurança de dados

De acordo com este relatório da Verizon,

  • 43% das violações acontecem em pequenas empresas;
  • 52% das violações são cometidas por hackers, enquanto 28% acontecem via malware e 21% são advindas de erros. 

Outro dado preocupante mostra que 56% das violações levam vários meses até serem descobertas. 

Mas como ter a certeza de que a empresa e os titulares estão realmente protegidos se o perigo pode vir de tantas vertentes? A resposta está na criptografia.

É claro que existem alguns padrões de segurança de dados que, quando aplicados nas empresas, garantem o máximo de proteção. Porém, mesmo que alguma falha ocorra e as informações vazem, apenas a criptografia é capaz de impedir que os hackers decifrem estes dados. Vamos abordar esses padrões agora.

1 – Política de segurança

As políticas de segurança são uma lista de melhores práticas, ferramentas e informações atualizadas que servem de guia para líderes e colaboradores. Elas devem ser de fácil acesso e fazer parte da cultura organizacional da empresa, para que sejam priorizadas por todos. 

2 – Rotina de backups

Atualmente, com a cloud computing e as ferramentas tecnológicas disponíveis no mercado que garantem backups recorrentes, este não deve ser um tópico difícil, mas mesmo assim é de suma importância contra possíveis avarias e perdas de informação.  

3 – Criptografia

A criptografia é o processo que, a partir de uma sequência de caracteres, protege os dados contra acessos não autorizados. Ele pode ser usado tanto nas senhas quanto nos dados, de forma que, mesmo que haja uma invasão ou vazamento, apenas pessoas autorizadas consigam fazer a leitura das informações. 

4 – Controle de acesso

Este tipo de restrição pode ser aplicado em todas as ferramentas e plataformas. Com a definição dos parâmetros de segurança, cada usuário só consegue entrar em contato com as informações que dizem respeito exclusivamente às atividades que executa. O restante dos dados é de leitura exclusiva de administradores que tenham acesso total ao sistema.

Agora que já ficaram claros os desafios da LGPD na segurança de dados e nos processos das empresas, sobretudo nas agências de marketing, fica um questionamento: será que a lei só trouxe desafios ou as empresas que se adequarem a ela encontrarão algumas vantagens? 

Compliance e segurança de dados

Faz parte do marketing digital conhecer a fundo o público-alvo da marca para criar ações personalizadas de acordo com os gostos e comportamentos. E a melhor forma de coletar este tipo de informação é por meio de pesquisas, formulários, landing pages, redes sociais, entre outras estratégias.

Isso quer dizer que estes processos que giram em torno de todas as estratégias de marketing digital terão que ser repensados para se adequarem ao compliance e à segurança de dados exigidos pela LGPD.

A princípio pode ser bastante trabalhoso, mas um estudo da Check Point com a OnePoll mostrou de que forma a lei GDPR está impactando as empresas europeias depois de pouco mais de um ano em vigor. Os resultados são bastante otimistas. 

A pesquisa mostra que 75% dos líderes entrevistados acreditam que o Regulamento Geral de Proteção de Dados (GDPR) da UE melhorou a confiança do consumidor na marca, enquanto 73% afirmam que isso aumentou a segurança dos dados

Além disso, 44% deles ainda mostrou que se adequar à GDPR tornou as operações mais eficientes e aumentou o valor agregado por conta da maior segurança cibernética.

É claro que repensar os negócios da empresa é uma tarefa desafiadora, ainda mais com tão pouco tempo para se adequar às novas diretrizes, mas como ficou claro acima, as vantagens são grandes e a curto prazo. 

Vamos mostrar agora como montar sua equipe de segurança de dados!

Monte a sua equipe de segurança de dados

A área de segurança de dados e informação, apesar de ser uma das mais importantes da empresa, vive uma crescente falta de profissionais qualificados. Este fato fica ainda mais evidente no momento atual, em que todas as corporações foram obrigadas a montar suas próprias equipes para estar de acordo com a LGPD.

Se este cenário pode ser aplicado à sua empresa, vamos mostrar uma lista de talentos e habilidades necessárias para esta função. Mas já podemos adiantar um fato: o papel dos líderes e gestores é fundamental! Acompanhe.

Como colocar em prática a segurança de dados?

Na hora de montar sua equipe de segurança de dados ou contratar um profissional que será o responsável por esta área, é válido considerar os seguintes tópicos:  

1 – Investir agora pensando no futuro

Conforme explicamos acima, contratar profissionais da segurança da informação qualificados é uma tarefa desafiadora. São poucos para muita demanda. Porém, investir em pessoas que já são da sua equipe, proporcionando treinamentos, certificações e recompensas, é a melhor forma de garantir a qualificação necessária e a retenção do funcionário. 

2 – A busca por profissionais éticos e proativos

Falar sobre ética e proatividade no dia a dia corporativo parece “chover no molhado”, mas quando levamos estas características à segurança de dados, notamos que elas se tornam essenciais para o bom desempenho das ações. 

Primeiro porque o profissional irá lidar com dados pessoais, muitas vezes sensíveis, e por isso deve fazer tudo o que estiver ao seu alcance para proteger titulares e empresa de crimes virtuais. 

Além disso, por ser grande conhecedor dos processos e tecnologias, deve estar sempre aberto para dialogar e instruir os demais colaboradores da empresa. 

Já a proatividade e a agilidade são fundamentais na identificação de falhas e resolução dos problemas no menor tempo possível. Apenas essas características são capazes de remediar uma situação antes que danos maiores sejam causados.  

3 – Valorize e incentive o conhecimento de normas e procedimentos 

A lei de proteção de dados é uma grande novidade em todos os aspectos e muito provavelmente viverá inúmeras mudanças e adequações com o passar do tempo. 

Além disso, com a mesma rapidez que ferramentas e tecnologias entram em jogo, os cibercriminosos se atualizam. Ou seja, o profissional que se dedica à segurança de dados deve estar constantemente atento a essas novidades e atualizações para conseguir se manter funcional.

Outro fator que impactante neste assunto são práticas de segurança aplicadas de formas diferentes em cada empresa. No caso do marketing, é necessário conhecer todas as regulamentações do setor para que a prestação de serviços esteja de acordo com as normas de segurança e compliance.       

4 – Não se esqueça que liderança é fundamental 

Os líderes e gestores são os primeiros exemplos a serem seguidos. É necessário que a busca e a valorização da segurança de dados esteja presente na cultura organizacional da empresa desde o início. Ou seja, é papel da liderança criar programas de atualização e conscientização de todos os funcionários.

Além disso, é responsabilidade dos líderes garantir que todos os equipamentos estejam atualizados e o investimento em tecnologia esteja de acordo com as novas necessidades da empresa.

Uma alternativa que pode ser muito interessante para quem não quer ou não pode arcar com os gastos de um profissional ou equipe dedicada à segurança da informação é fechar parcerias com empresas de outsourcing de TI. Dessa forma, você conta com toda a expertise e tecnologia de ponta sem precisar investir em contratação e treinamento de funcionários.  

Ao longo desse post você percebeu que são muitos novos. E eles certamente sofrerão muitas mudanças com o passar do tempo. Mas podemos ficar atentos para prever o que ainda está por vir.

Quer saber o que esperar do futuro da segurança de dados e o que podemos aguardar em relação ao uso da tecnologia nesta área? Entenda a seguir. 

Tendências emergentes em segurança de dados

O uso de sistemas baseados em tecnologias emergentes já é muito comum no cotidiano de todos e eles já são essenciais nas empresas que estão passando pela transformação digital. O que nem todo mundo sabe é que essas mesmas tecnologias já estão sendo usadas também na busca por uma maior segurança de dados. Entre as tendências futuras podemos citar:   

# Internet das Coisas

Atualmente, a IoT já é utilizada na segurança de dados quando identifica um comportamento incomum em determinada conta e envia um alerta automático para outro dispositivo conectado à Internet. 

Dispositivos em IoT são uma nova e frequente ameaça de invasão, porque uma simples impressora que funciona à distância pode ser uma porta aberta para hackers acessarem notebooks ou bancos de dados, por exemplo. 

A expectativa é de que, no futuro, todos os equipamentos em IoT possam estar interligados, identificando possíveis vulnerabilidades e enviando alertas para que o perigo possa ser barrado o mais rápido possível.   

# Inteligência artificial

Muitas vezes, nem uma política rígida de criação de senhas é suficiente para impedir que hackers invadam servidores ou banco de dados. Para não dependerem apenas disso, empresas têm utilizado outras formas de garantir a segurança das informações, como autenticação biométrica. 

No entanto, esse tipo de tecnologia nem sempre é eficiente. Quando um usuário muda o corte de cabelo ou usa um acessório diferente, o acesso acaba falhando porque não reconhece a pessoa pelas características iniciais.  

Uma das tendências da inteligência artificial na segurança de dados é aquela que usa sensores e motores neurais da tecnologia para identificar padrões e reconhecer o usuário mesmo que suas características estejam diferentes.

Este tipo de autenticação facial já está sendo utilizada no Iphone X, da Apple.      

# Machine learning

Machine learning é uma das vertentes da inteligência artificial que dá às máquinas e ferramentas o poder de analisar processos e aprender com eles para depois os executar automaticamente. 

As expectativas em torno dessa tecnologia para a segurança de dados são grandes, já que o aprendizado de máquina pode resultar na identificação de comportamentos estranhos e indícios da presença de cibercriminosos ou vulnerabilidades no sistema. 

O aprendizado de máquina, então, consegue barrar o acesso ou reverter a vulnerabilidade automaticamente, antes que o perigo realmente se instale.     

Novo posicionamento do Google

Recentemente, o Google emitiu um posicionamento sobre as novas formas de tratamento de dados da empresa, que vão de acordo ao compliance da lei GDPR. 

Como o Tribunal de Justiça da União Europeia invalidou o Escudo de Privacidade entre Estados Unidos e Europa, agora o Google passará para as Cláusulas Contratuais Padrão (SCCs). 

Esta mudança impacta as transferências de publicidade on-line e dados pessoais de medição do Espaço Econômico da Europa, Suíça e Reino Unido. 

Entre as funções do Google que sofrerão mudanças estão:

  • Termos de processamento de dados, 
  • Termos de proteção de dados do controlador do Google Ads
  • E termos de proteção de dados entre controladores de medição da mesma ferramenta.

A partir de agora, as atualizações não concedem ao Google direitos adicionais sobre dados. Essas alterações foram aplicadas a partir de 12 de agosto de 2020.

Este é um post épico muito completo para quem quer começar a mudar seus processos para estar de acordo com o compliance da LGPD e busca maior valor agregado com a segurança de dados. Confira outros conteúdos de valor como este no blog da Motor Tech Content.

Luiza Martin
Luiza Martin

Luiza é mestra em Jornalismo, especialista em Marketing e professora universitária. Há 5 anos ajuda empresas de tecnologia a terem mais sucesso no marketing de conteúdo.

https://motortechcontent.com.br/

Comentários