Proteção de dados sempre foi um assunto prioritário nas empresas. Com a Era Digital, isso tomou novas dimensões. Apesar das diferentes ferramentas de segurança para o ambiente virtual, os riscos continuam porque os cibercriminosos fazem uso da própria tecnologia e de algumas falhas para praticar ilícitos.
O vazamento de dados continua sendo um perigo a que as empresas se encontram sujeitas. Com a LGPD (Lei Geral de Proteção de Dados Pessoais),a situação se transformou, já que os cuidados com a proteção dos dados pessoais passou a ser uma obrigação, cujo não cumprimento está passível de penalizações.
Neste e-book, vamos fazer um apanhado do tema e falar mais sobre essa nova lei e sobre a importância de garantir segurança aos dados corporativos, além de dar dicas sobre como conferir proteção e cuidados a esses ativos tão valiosos. Não perca a leitura!
A LGPD e o tratamento de dados na empresa
A Lei Geral de Proteção de Dados Pessoais (LGPD) é a Lei nº 13.709/2018. Trata-se de uma lei criada para assegurar o direito a qualquer pessoa física de acessar, modificar e proteger seus dados pessoais e sensíveis.
Ela define regras para todos os que fazem a coleta, o armazenamento e o compartilhamento de dados pessoais de outras pessoas e passou a vigorar em dezembro de 2020. A finalidade da lei é garantir:
- respeito à privacidade;
- autodeterminação informativa;
- liberdade de expressão, comunicação, informação e opinião;
- inviolabilidade à intimidade da imagem e da honra;
- desenvolvimento tecnológico e econômico, bem como inovação;
- livre iniciativa, defesa do consumidor e livre concorrência;
- direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
O que são dados pessoais e dados sensíveis?
No artigo 5º da LGPD, a legislação determina que dados pessoais são as informações referentes “à pessoa natural identificada ou identificável”. Isso significa que são informações que podem identificar uma pessoa isoladamente ou junto a outras. São exemplos de dados pessoais:
- nome ou apelido;
- RG;
- CPF;
- e-mail;
- endereço;
- dados de localização;
- endereço de IP;
- identificador de publicidade do telefone;
- cookies.
Dados corporativos não entram na lista (CNPJ, e-mails profissionais, dados “anonimizados” e outros).
Ainda de acordo com o artigo quinto da LGPD, os dados sensíveis são aqueles que mostram características mais específicas de uma pessoa, como:
- etnia;
- religião;
- sexo;
- orientação sexual;
- posicionamento político;
- filiação sindical;
- dados bancários;
- dados relativos à saúde;
- dados genéticos e biométricos.
O que são dados anonimizados?
A anonimização é um processo que remove ou altera informações que servem para identificar uma pessoa. A LGPD não considera como dados pessoais os dados anonimizados. Assim, desde que essas informações não sejam relacionadas a ninguém especificamente, elas podem ser utilizadas.
Como acontece o tratamento de dados?
De acordo com a LGPD, o tratamento de dados consiste em toda operação efetuada com dados pessoais. Entre as atividades relacionadas ao tratamento de dados, estão:
- coleta;
- produção;
- recepção;
- classificação;
- uso;
- acesso;
- reprodução;
- transmissão;
- distribuição;
- processamento;
- arquivamento;
- armazenamento;
- eliminação;
- avaliação/controle da informação;
- modificação;
- comunicação;
- transferência;
- difusão;
- extração.
Para controlar corretamente todas essas operações, é importante a atuação de três profissionais:
- controlador: decide a respeito do tratamento de dados;
- operador: aplica às decisões tomadas pelo controlador;
- encarregado: intermedeia a relação entre o controlador, o dono dos dados e a agência do governo responsável pela fiscalização.
Qual é o impacto da LGPD sobre os negócios?
O não cumprimento da LGPD gera penalizações para a empresa. Primeiramente, é necessário que o proprietário dos dados dê seu consentimento para que a organização faça uso deles, inclusive o compartilhamento com outras pessoas jurídicas. E a empresa deve deixar clara para qual finalidade os dados serão utilizados.
A entidade responsável pela fiscalização do cumprimento da LGPD é a Agência Nacional de Proteção de Dados (ANPD),que está ligada ao Presidente da República (Poder Executivo). A pena incidirá de acordo com a gravidade e a natureza da infração, a boa-fé de quem cometeu a infração, a reincidência, a vantagem econômica obtida pelo infrator, a cooperação dele, os danos causados e outros critérios.
As penalidades previstas pela LGPD (capítulo 8, seção I) são:
- advertência;
- publicidade da infração;
- eliminação dos dados que causaram a infração;
- bloqueio dos dados até que a situação se regularize;
- multa diária;
- multa de até 2% da receita bruta da empresa;
- proibição do tratamento de dados.
A empresa precisa, portanto, definir uma política para se adequar às novas regras e evitar ser penalizada, bem como sofrer as consequências de um eventual vazamento ou captura de dados importantes por terceiros.
A importância de proteger os dados da sua empresa
A segurança de dados em uma empresa é uma segurança intelectual. A propriedade intelectual protege não somente um conceito ou uma ideia. Ela confere proteção aos ativos que podem fazer parte relevante dos serviços centrais da empresa.
A internet tem dado muitos benefícios às empresas, mas aumentou as chances de roubos relativos à propriedade intelectual. Organizações de todos os portes se arriscam a ter suas ideias, serviços ou produtos prejudicados, ainda que estejam localizadas em outra parte do mundo.
Vantagens em garantir a proteção dos dados
1. Confiança dos clientes
Para a manutenção de um bom relacionamento com os clientes, a confiança é fundamental. Os consumidores confiam que a empresa vai proteger as informações compartilhadas. Caso haja vazamento, o relacionamento entre empresa e cliente sofrerá um grande abalo.
2. Proteção para o crescimento empresarial
A empresa deve garantir proteção para seus serviços ou produtos exclusivos. A concorrência poderá se aproveitar para ganhar vantagem com algum produto ou serviço bem-sucedido do seu negócio. Desse modo, a sua empresa tende a perder parte dos lucros e a crescer com mais lentidão.
Não importa o tamanho do negócio, deve-se garantir que a propriedade intelectual será preservada e que, assim, os concorrentes não vão explorar o potencial de sua empresa.
3. Ataques de segurança
Com o uso crescente de dispositivos digitais e com o aumento das transações financeiras digitais, aumentaram também os riscos de perda e vazamento de dados, roubo de informações e indisponibilidade de serviços.
Os ataques de segurança comprometem a integridade, o sigilo, a disponibilidade, a autenticidade de uma informação que pertence a uma determinada empresa. Conforme o livro “Segurança com Redes Privadas Virtuais – VPN”, existem quatro tipos de ataques de segurança:
- interrupção: destrói ou interrompe o serviço da empresa;
- interceptação: captura aquilo que está em transmissão sem que o sistema perceba (a privacidade das informações é atacada); a partir desse ataque, são produzidas cópias não autorizadas de arquivos, programas e informações;
- modificação: modifica o que está sendo transmitido (a integridade das informações é atacada);
- falsificação: o criminoso se passa pelo usuário do sistema a fim de acessar informações para transmitir na rede.
Princípios fundamentais de segurança e mecanismos de segurança
Os princípios fundamentais de segurança são:
- confidencialidade (exclusividade, sigilo): somente algumas pessoas podem acessar as informações;
- integridade: proteção das informações contra modificações não autorizadas;
- disponibilidade: garantia de que as informações e os recursos estejam disponíveis sempre que for necessário.
Há outros princípios de segurança registrados na Cartilha de Segurança para Internet (2021):
- autenticidade: confirma se a entidade é realmente quem diz ser;
- autorização: determina as ações que podem ser realizadas pela entidade;
- identificação: permite que a entidade se identifique;
- não repúdio: impede que a entidade negue ter realizado um ato específico que ela efetivamente realizou.
Para que os princípios sejam respeitados, é preciso adotar mecanismos de segurança para ajudar na proteção de dados, garantindo a inviolabilidade das informações.
Dicas de segurança e cuidados com o tratamento de dados
É preciso desenvolver políticas de segurança que sejam seguidas por todos os funcionários. Vamos analisar algumas dicas e cuidados com o tratamento de dados que vão otimizar a proteção deles em sua empresa.
Use antivírus
Os antivírus são softwares que identificam e coíbem a ação de programas maliciosos, que têm potencial para corromper o sistema de máquinas e também para roubar dados dos usuários. Os antivírus são destinados, portanto, à prevenção e à segurança.
Há diversas maneiras de contaminação por vírus. Em um cupom de desconto para determinado serviço, por exemplo, podemos identificar a existência de códigos que atrapalham o funcionamento das máquinas.
O antivírus consegue detectar a presença do vírus. Ele toma ações, como colocar o vírus em quarentena e remover o código. Alguns programas alertam o usuário, solicitando permissão para escanear o computador.
É importante manter sempre atualizado o antivírus — os hackers são especializados em identificar brechas e falhas para aplicar seus golpes.
Faça periodicamente backups
O backup é uma cópia de segurança dos arquivos armazenados na máquina. Essa ação preventiva evita a perda definitiva de dados relevantes para o negócio devido a vírus e a atividades de cibercriminosos.
Atualmente, há plataformas que permitem backups direto na nuvem, o que garante uma segurança ainda maior. A computação na nuvem permite o acesso aos arquivos de qualquer parte e qualquer dispositivo, bastando somente que a internet esteja ativa. Não existem riscos como quebra de disco, HD corrompido e outros problemas.
Mas os próprios sistemas operacionais oferecem recursos de gravação para salvação segura dos dados mais importantes.
Crie senhas fortes
As senhas fortes são uma forma de navegar na internet com mais tranquilidade e segurança. Isso é válido para e-mails pessoais, cadastros em diferentes páginas, redes sociais e, dentro da empresa, para que somente os profissionais autorizados acessem determinadas informações.
Senhas fortes costumam incluir:
- combinações com mais de sete caracteres;
- uso de números variados;
- combinação de letras maiúsculas e minúsculas;
- inserção de símbolos (*, %, @, $ e outros).
Não são recomendadas as senhas que usam a data de nascimento e o número de telefone. Também não convém colocar o nome de usuário na senha.
Use VPNs para conexões públicas
As VPNs (Redes Privadas Virtuais) formam um acesso de rede privada montada sobre a infraestrutura de uma rede pública, o que permite que dois computadores sejam conectados por meio de uma plataforma semelhante à internet.
Em vez de acessar redes em pacotes ou links dedicados, a VPN utiliza uma infraestrutura de internet para conexão com redes distantes.
As VPNs são muito utilizadas por empresas grandes e por instituições públicas e permitem que pessoas devidamente cadastradas acessem informações de forma remota, como nas atividades home office.
Tenha cuidados com o e-mail
É necessário analisar a procedência de e-mails em nome de bancos, lojas, provedores de serviços, órgãos públicos e assim por diante. É preciso verificar o cabeçalho e o conteúdo integral da mensagem. Jamais saia clicando em links e anexos de mensagem sem ter certeza de que o remetente realmente é quem ele diz ser.
Se achar alguma mensagem suspeita, faça uma consulta no Catálogo de Fraudes da Rede Nacional de Pesquisa. A finalidade desse catálogo é conscientizar as pessoas a respeito dos golpes mais perigosos que circulam na internet.
Ainda que tenha usado o antivírus, não abra arquivos enviados por fontes duvidosas. Desconfie principalmente de arquivos executáveis, mesmo que se originem de fontes confiáveis. Esses arquivos podem estar mascarados com extensão compactada (.zip, .rar e outras).
Verifique ainda a veracidade das informações e só repasse a mensagem depois de analisar tudo com cuidado.
Sempre fique alerta a links e arquivos anexados à mensagem ainda que tenham sido remetidos por pessoas ou empresas conhecidas — pode ser uma conta de e-mail que foi invadida e está sendo usada como fonte de golpes.
Só abra arquivos anexados após verificá-los com antivírus. Tenha cuidado ao acessar a página do seu webmail para não cair nesses golpes, conhecidos como “phishing”.
Faça também a configuração de recuperação de senha (endereço alternativo de e-mail, número de celular).
Faça a leitura de documentos importantes
Também vale a pena ler certos documentos que passam orientações sobre proteção de dados:
- Cartilha de Segurança para Internet: já citamos esse documento mais acima;
- Guia de Boas Práticas — Lei Geral de Proteção de Dados Pessoais (LGPD): elaborado pela Secretaria do Governo Digital;
- Internet Segura: elaborado pelo Comitê Gestor da Internet no Brasil (CGI.br).
Ficou clara a importância de garantir proteção de dados da empresa, principalmente os sigilosos e os dados dos clientes. Além disso, a LGPD exige que se tomem certas ações para assegurar mais transparência no relacionamento da empresa com seus clientes.
É fundamental definir uma política de proteção de dados, da qual participem todos os colaboradores e sejam aplicadas técnicas eficazes, aproveitando a tecnologia disponível.
Sobre a Rocha & Montarroyos Consult
A RM Consult é uma empresa que atua com o suporte técnico especializado BPO nas áreas contábil, tributária e trabalhista. Fornecemos serviços na área de auditoria tributária e trabalhista, promovendo acesso às informações de forma mais segura e dinâmica.
Podemos auxiliá-lo ainda na análise de viabilidade e planejamento envolvendo contratos de arrendamento.