Como garantir a segurança de dados sensíveis?

As transformações sociais e o avanço das tecnologias, associado a propagação e massificação do acesso à internet, modificou a forma como as pessoas de todo o mundo se relacionam.

A maneira como os seres humanos interagem entre si, buscam informações, efetuam transações comerciais e financeiras, trabalham, entre outras diversas atividades, foram se adaptando aos novos formatos e às necessidades impostas pelos dias atuais.

Hoje, é evidente a impossibilidade de permanecermos offline como sociedade. Mas essa realidade, ao mesmo tempo que nos trás inúmeros benefícios, nos acende um alerta em relação a segurança dos dados sensíveis – informações pessoais e de identificação.

Diante dessa reflexão, você sabe como garantir a segurança de dados sensíveis? Se você tem alguma dúvida sobre o assunto, acompanhe o conteúdo que preparamos para você!

O que são dados sensíveis?

Como dissemos anteriormente, vivemos em uma sociedade cada vez mais digital e cada vez menos analógica. Para que possamos realizar as atividades do dia a dia em ambiente online, muitas de nossas informações privadas acabam sendo compartilhadas durante a realização de acessos, cadastros ou transações – desde as mais simples até as mais complexas e dos mais diferentes tipos.

De maneira objetiva, os dados sensíveis são todos os tipos de dados pessoais, como por exemplo os que revelam: 

• Origem racial ou étnica;
• Opiniões políticas;
• Filiação sindical; 
• Questões sobre a vida sexual;
• Convicções religiosas ou filosóficas;
• Questões genéticas, biométricas e de saúde.

É válido ressaltar que os dados sensíveis de crianças e adolescentes só podem ser acessados com o consentimento de um dos responsáveis legais. Sem o consentimento dos mesmos, os dados só podem ser coletados em casos de urgência e justamente para que o contato com os responsáveis pelo menor de idade possa ser estabelecido. 

Quando os dados sensíveis coletados por uma empresa caem em mãos errados, inúmeros transtornos podem ser provocados. Alguns exemplos são:

• Fraudes em nome do indivíduo;
• Sequestro de informações sobre os seus consumidores;
• Invasão e movimentação de contas bancárias ou cartões de crédito;
• Incriminação do consumidor por ações ilegais não cometidas por ele;
• Processos contra a sua marca por vazamento de informações sensíveis, entre outros.

Sendo assim, a criação de normas para garantir a segurança de dados sensíveis dos consumidores e usuários da internet se fez necessária e representa uma tendência global. Um dos primeiros passos dados em relação a essa questão aconteceu na União Européia, com a criação do General Data Protection Regulation (GDPR), em 2018. Trata-se de uma lei que determina às instituições a garantia da segurança de dados sensíveis, trazendo assim, mais proteção aos usuários. 

Mas, no Brasil, que tipos de diretrizes nos asseguram em relação a proteção de dados sensíveis? A respostas está na Lei Geral de Proteção de Dados Pessoais (LGPD), regulamentação inspirada na legislação europeia, estabelece bases legais para a coleta e tratamento de dados pessoais, aumentando as garantias de privacidade online e offline. 

A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e de livre formação da personalidade de cada indivíduo. A Lei dispões sobre o tratamento de dados feito por pessoa física ou jurídica, seja em âmbito público ou privado. Os principais fundamentos da LGPD são garantir: 

• Cidadania e dignidade;
• Desenvolvimento e inovação;
• Liberdade e autodeterminação;
• Respeito à privacidade e intimidade;
• Concorrência e defesa do consumidor.

Todas as atividades, exceto as jornalísticas, acadêmicas, de apuração de infrações penais ou de segurança nacional, devem seguir os parâmetros da lei, principalmente as atividades que possuem a natureza comercial. Mas, caso as obrigatoriedades não sejam cumpridas, quais são as sanções sobre o tratamento indevido dos dados sensíveis?

Sanções sobre o uso indevido de dados sensíveis

A Lei nº 13.709/2018 sofreu algumas mudanças relevantes, que alteram inclusive o Marco Civil da Internet –  podendo, por exemplo, aplicar multas capazes de chegar a valores como 2% do último faturamento anual da empresa, limitados a até R$ 50 milhões por infração em casos de descumprimento. 

Além disso, em casos de descumprimento da LGDP, conforme o artigo 50º, as seguintes sanções administrativas poderão ser aplicadas:

• Multa diária;
• Multa simples – com taxa única;
• Eliminação dos dados pessoais referentes a infração;
• Publicização da infração após apuração e confirmação da ocorrência;
• Advertência – com prazo para adoção das medidas corretivas indicadas;
• Proibição parcial ou total do exercício das atividades relativas ao tratamento de dados;
• Bloqueio dos dados pessoais a que se refere a infração – até que a mesma seja regularizada;
• Suspensão parcial do funcionamento do banco de dados pelo período de até 6 meses – podendo haver a prorrogação deste prazo.

A Lei determina ainda que a revogação do consentimento para utilização de dados pessoais do titular possa ser solicitada pelo mesmo, seja por descumprimento da lei ou apenas pela simples vontade. Ou seja, o cliente ou usuário pode retirar a concessão sobre seus dados sensíveis apenas solicitando a exclusão ou bloqueio de acesso às suas informações pessoais.

Por isso, entenda quais são os principais destaques da LGDP:

• Apenas após a autorização do titular, o compartilhamento de dados com terceiros poderá ser feito – com ressalva em hipótese de dispensa de consentimento prevista na própria Lei;
• Quando necessário, o consentimento deve ser feito por escrito ou por qualquer outro meio que não deixe margem para dúvidas sobre a veracidade da autorização do titular – uma alternativa que vem se popularizando é a assinatura eletrônica;
• O titular deve ter, a qualquer tempo, o acesso a todos os detalhes sobre o tratamento de seus dados – como a finalidade da requisição, a identificação do atendente ou do controlador, a duração da utilização dos dados, entre outros;
• Desde que não possam ser revertidos e se tornarem capazes de revelar a identidade real, dados anônimos não são contemplados pela Lei;
• A coleta de dados não pode ser imposta, em casos de menores, para a utilização de jogos ou aplicativos.

Como a LGPD será fiscalizada?

A própria Lei Geral de Proteção de Dados (LGPD) criou a Autoridade Nacional de Proteção de Dados (ANPD) para ser a agência responsável pela fiscalização do uso dos dados sensíveis presentes na internet. Com vínculo administrativo com a Presidência da República, compete à ANPD: 

• Cuidar da proteção dos dados pessoais que circulam pela internet;
• Fiscalizar e aplicar as sanções em casos de descumprimento da legislação;
• Realizar auditorias e cumprir compromissos para eliminar possíveis irregularidades;
• Editar procedimentos e regulamentos sobre a proteção da privacidade e de dados pessoais;
• Elaborar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Promover o conhecimento sobre as normas e políticas públicas relativas à proteção de dados pessoas e medidas de segurança.

Esta autoridade nacional será formada por um conselho diretor, órgão máximo da agência, e 23 titulares, com mandato de dois anos, para diferentes setores. Além disso, será possível contar com um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, uma corregedoria, uma ouvidoria, um órgão de assessoramento jurídico e unidades administrativas especializadas – essenciais para que a lei possa ser aplicada em todo o território brasileiro.

Quando entrará em vigor a nova edição da LGPD?

A previsão é que a nova edição da Lei Geral de Proteção de Dados Pessoais passe a valer a partir de agosto de 2020. O objetivo desta atualização da LGPD é garantir o sigilo dos chamados dados sensíveis que dizem respeito a qualquer tipo de informação capaz de identificar uma pessoa. As corporações que não seguirem as regras ou causarem o vazamento desse tipo de dado, estarão sujeitas a severas punições.

Devido ao grande volume de informações que circulam pela internet e aos altos riscos que os usuários correm quando os seus dados não são manuseados de forma adequada, a nova edição da LGPD se fez necessária.

Todos devem estar atentos a nova forma de governança e boas práticas para a coleta e utilização de dados sensíveis. Isso muda a forma como a maioria das empresas costuma agir, não apenas as que trabalham com tecnologia o redes sociais, mas qualquer empresa que possui um site, dispara e-mail marketing, tem qualquer tipo de banco de dados, entre outros, terão que cumprir as diretrizes da Lei. Todo e qualquer tipo de dado coletado pelas empresas, desde uma imobiliária até um comércio de alimentos, assumirá a responsabilidade e suportará as consequências em caso de má utilização das informações.

Se você tem acesso e precisa manipular dados sensíveis de seus clientes, mais do que nunca, precisa se atentar a sistemática de coleta de dados e revisar, o quanto antes, a adaptabilidade dos seus processos de TI ao novo formato exigido.

Para minimizar a possibilidade de incidentes e oferecer ao cliente a melhor experiência, ao lidar com dados sensíveis, é essencial que estabeleça parcerias capazes de implementar mecanismos eficazes de segurança da informação. Mas, como garantir a segurança dos dados sensíveis?

Como garantir a segurança dos dados sensíveis?

O cenário no Brasil é preocupante, segundo uma pesquisa feita pelo Serasa Experian, 85% das empresas do país ainda não estão preparadas para cumprir a LGPD. Apesar de muitos gestores e profissionais estarem cientes da necessidade de proteger os dados sensíveis, ainda falta investimento em controles eficazes de segurança prática.

Devido a dificuldade da maioria das empresas para se adaptarem e a proximidade da entrada da atualização da LGDP, a melhor saída para muitos negócios é investir em empresas especializadas, capazes de automatizar os processos de identificação e garantir a proteção de dados sensíveis dos clientes e usuários.

O mesmo estudo do Serasa Experian, identificou que 72% dos participantes pretendem contratar uma empresa de tecnologia para que possam ser assessorados e garantir o sucesso no cumprimento da Lei e no tratamento dos dados.

A empresa que precisa coletar e manipular os dados sensíveis de seus clientes deve se responsabilizar pela segurança dessas informações e o único meio de garantir a proteção desses dados é através do uso da tecnologia adequada. 

Para aumentar a confiabilidade das operações, uma das principais alternativas tecnológicas são as ferramentas que oferecem o uso da criptografia. Por meio dela as informações fornecidas pelo cliente são codificadas e se tornam sigilosas – indisponíveis para funcionários ou usuários sem a autorização requisitada. 

Mas, além da criptografia, outras medidas também são capazes de ajudar a garantir a proteção dos dados sensíveis dos seus clientes e usuários. Confira!

1. Adote a melhor tecnologia

Como dissemos, por mais que hajam medidas humanas a serem tomadas, apenas por meio da adoção de uma tecnologia eficaz será possível garantir a segurança das informações sensíveis dos clientes e usuários, além do cumprimento de todas as regulamentações vigentes e as que irão vigorar em breve. Por isso, busque por parceiros sérios, competentes e capazes de oferecer ferramentas funcionais e, acima de tudo, seguras. 

2. Utilize termos de confidencialidade

Para ajudar a limitar o acesso e o uso de dados sensíveis a determinados contextos, seja por profissionais da sua própria equipe ou por profissionais terceirizados, os termos de confidencialidade podem ser uma alternativa capaz de agregar segurança às operações. 

3. Adore Virtual Private Networks (VPN)

Atualmente, onde você armazena os dados sensíveis fornecidos à sua empresa? Saiba que o armazenamento em nuvens públicas ou em sites abertos não são recomendados, já que estes meios podem receber incontáveis acessos não autenticados.

A falta de autenticação abre as portas para os acessos ilegais aos dados dos seus clientes e da sua empresa. Por isso, neste caso, uma alternativa é optar pelo uso dos Virtual Private Networks (VPN) –  que só libera o acesso para as pessoas autenticadas, com usuários e senhas devidamente cadastradas e ativas. Ou seja, sem a permissão necessária, não será possível acessar às informações sensíveis de seus clientes ou da sua empresa. 

4. Tenha um controle de acessos eficaz

Após garantir que senhas mais seguras estão sendo utilizadas, redes privadas foram adotadas e que os dados sensíveis estão sendo criptografados, é preciso estabelecer uma política eficiente de controle de acessos. 

O controle de acessos, além de definir quem pode e quem não pode entrar em sua rede, também faz o controle relativo ao histórico de logins e ações realizadas por cada usuário. Adotar esta política pode ajudar a identificar acessos ilegais ou esclarecer erros humanos. 

5. Capacite a sua equipe de atendimento

As pessoas que precisam acessar diretamente os bancos de dados todos os dias, fazem parte da equipe responsável pela segurança das informações de sua empresa. Por isso, é importante capacitar toda a equipe de atendimento em relação às melhores práticas.

Estabelecer um código de ética e de condutas também é uma boa medida à ser tomada. Criar diretrizes para que os processos possam ser seguidos a risca, passo a passo, ajudará sua equipe a executar as atividades corretamente. Sendo assim, mais uma importante frente na batalha a favor da proteção dos dados sensíveis de seus clientes e usuários.

As alterações da LGDP trarão consigo uma nova rotina e obrigará as empresas a direcionarem sua atenção para a importância de garantir a segurança dos dados sensíveis de seus clientes ou usuários. Será preciso acompanhar as estratégias de proteção dessas informações e garantir o cumprimento de todas as exigências legais dentro da sua organização – e a maneira mais segura para obter sucesso nesta missão é adotando as ferramentas tecnológicas adequadas.

Agora que você já sabe como garantir a segurança de dados sensíveis, entenda qual a importância do relacionamento com o cliente e como ter controle de solicitações.