Se você ainda não sabe o que é a LGPD ou ouviu falar, mas ainda não se atentou ao que realmente essa legislação representa, é melhor buscar se informar. A Lei Geral de Proteção de Dados (LGPD), Lei Federal n. 13.709, foi sancionada em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. Seu objetivo principal é garantir transparência no uso dos dados das pessoas físicas. É uma alteração do chamado Marco Civil da Internet, Lei n. 12,925, de 23 de abril de 2014, que até então regulava essas transações.

A LGPD basicamente confere o controle das informações pessoais apenas a seus detentores, que podem ou não permitir, de forma espontânea, que seus dados sejam utilizados pelas empresas para determinados fins. A coleta, o armazenamento e o compartilhamento de dados sem autorização do usuário caracterizam, segundo a LGPD, infração, com multas que podem chegar a 2% do faturamento ou R$ 50 milhões por infração, o que provoca um grande impacto no setor de TI das companhias.

A primeira mudança nas relações entre empresas e pessoas é que se houver necessidade de o usuário fornecer qualquer dado que seja a certa empresa, essa precisará explicitar os motivos para isso, obtendo consentimento do usuário, esclarecendo de que forma esses dados serão utilizados e firmando o compromisso de não repassá-los a terceiros, numa relação de transparência e segurança. Assim, usuários exercem sua autoridade e gestão sobre seus próprios dados e as empresas manifestam sua segurança e compromisso com essas informações.

A legislação prevê que as empresas evitem artifícios que induzem o usuário à aceitação automática dos termos de uso, como letras muito pequenas na adesão, textos muito grandes e subjetivos e botões com opções como “Aceito”, “Ok” ou “Sim”, por exemplo. Estabelece também que as empresas explicitem quanto tempo ficarão com os dados dos usuários e quando e como serão retiradas de seus bancos. Elas também precisam permitir aos usuários que eles editem seus dados a qualquer momento, conferindo ou retirando permissões ou até mesmo removendo-os. E no caso de haver vazamentos ou qualquer mudança na política, os usuários devem ser comunicados imediatamente.

Essas definições principais se caracterizam como aspectos jurídicos, contratuais e de direito individual. Mas as mudanças não param por aí e as empresas não devem se iludir que apenas um contrato ou um pequeno texto explicativo em seus websites seguidos de um botão de aceite tornarão seus processos aderentes a nova legislação.

Para se adequarem à LGPD, as empresas precisam criar comitês de segurança da informação, responsáveis por gerenciar os procedimentos internos de tratamento dos dados coletados e armazenados. Esse comitê precisa conhecer todo o ciclo dos dados dentro da empresa e também os riscos envolvidos em sua manutenção. Portanto, o fluxo das informações não pode ser avaliada apenas no seu decorrer regular. Vazamentos de dados de qualquer natureza ou acessos que se comprovem indevidos poderão ser classificados como infrações a nova legislação, como por exemplo, um programador que copia uma lista de e-mails, um hacker que se aproprie de dados ao invadir um ambiente ou uma lista com dados sensíveis de clientes levadas por um vendedor para fora da empresa. Esses casos representam negligência ou imperícia da empresa em proteger os dados que não são dela, mas sim de seus usuários.

Por isso, a entrada em vigor da LGPD representa um enorme desafio para as empresas e seus setores de TI, marketing, comercial, atendimento e outros que lidam com dados dos clientes. Será necessário rever processos e políticas e ter agilidade para atuar em casos que se mostrarem desconformes. Todavia ganham todos nessa nova configuração: empresas tornam-se mais responsáveis com os dados e usuários entendem suas responsabilidades com as informações que fornecem.

Manter a segurança dos dados de suas empresas é preocupação número um dos gestores. Os ambientes estão cada vez mais expostos a riscos, em especial no ambiente da web. Aliado a isso, a ação de hackers está altamente sofisticada, e eles são capazes de provocar danos irreparáveis. Na sua empresa, o banco de dados está realmente seguro? Quais seriam os prejuízos se parte dele parasse de funcionar? Que avaliações de segurança você realiza e com qual periodicidade?

Para identificar riscos, ameaças, fragilidades e pontos que podem prejudicar as informações armazenadas, as avaliações de segurança precisam ser realizadas com certa frequência por empresas especializadas em segurança de dados. Elas são capazes de conhecer os mecanismos de invasão, as ferramentas e a metodologia necessárias para proteger a confidencialidade do seu negócio, dados de usuários, recursos do sistema etc.

Avaliações de segurança englobam etapas como análise da situação atual, criação e/ou atualização das políticas de segurança, revisão constante das práticas adotadas, análises de risco, identificação de vulnerabilidades, análise dos dados e confecção de relatórios técnicos com o resultado dos testes realizados e recomendações aplicáveis.

Essas análises de segurança são motivadas geralmente por alguma necessidade específica, como a perda de informações ou invasões aos servidores, mas o ideal é que se tornem rotina dentro das empresas, principalmente aquelas que trabalham com qualquer parte dos seus sistemas expostos na web, que possuam em seus sistemas internos informações cadastrais ou bancárias de clientes ou ainda que sejam auditadas por órgãos reguladores ou auditorias externas, entre outros motivos.

Como segurança nunca é demais, e proteger os dados dos usuários é também uma exigência legal, a avaliação de segurança (Security Assessment) nunca foi tão exigida dentro das empresas. Isso porque os requisitos básicos de segurança de informação – confidencialidade, disponibilidade e integridade – só são cumpridos em sua totalidade quando, além de executados, são avaliados e reavaliados. Apenas um processo bem estruturado e permanente pode garantir as empresas, seus sócios e profissionais de TI, a tranquilidade quanto aos aspectos de segurança da informação que todos desejam nos dias atuais.