LGPD na prática: como evitar multas milionárias na sua empresa
Desde setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) está em vigor no Brasil. As penalidades, no entanto, passaram a ser aplicadas durante este ano. Isso traz luz à necessidade de conhecer a LGPD na prática quanto antes.
Com a vigência da lei, as organizações voltaram sua atenção para privacidade e segurança e se viram forçadas a acelerar a adaptação dos negócios.
Se a sua empresa ainda está um pouco atrasada no processo, ou precisa checar se todas as condições da LGPD estão contempladas no negócio para evitar multas milionárias, esse post é para você.
O que é LGPD?
Muito já foi falado sobre a LGPD, mas é sempre bom lembrar de seu conceito.
De acordo com a Agência Senado, a lei se aplica a dados tratados no Brasil. Também vale para qualquer informação pessoal que tenha sido coletada no país, independentemente de onde será tratada.
Veja abaixo alguns aspectos importantes da LGPD na prática. Com isso é possível fazer um checklist de todas as ações tomadas em sua empresa.
- A lei proíbe o uso de dados pessoais para a prática de discriminação ilícita ou abusiva. Isso engloba, por exemplo, o cruzamento de informações de uma pessoa ou de um grupo para pautar decisões comerciais, como perfil de consumo para divulgação de ofertas, políticas públicas ou atuação de órgão público;
- Ao coletar dados, as empresas devem informar a finalidade, indicar um responsável pelo uso das informações e adotar medidas para garantir a segurança do material;
- As empresas que não seguirem as diretrizes da LGPD estarão mais suscetíveis a incidentes de segurança relacionados a dados pessoais. Isso pode acarretar punição para infrações, de advertência a multa diária de até R$ 50 milhões, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de informações.
Lembre-se: uma empresa que não implementa os controles necessários para garantir a segurança do ambiente tecnológico, e também os domínios relacionados aos dados pessoais processados, fica atrás na corrida pela privacidade e segurança.
Como se adequar à LGPD e evitar multas milionárias?
Cada empresa tem diferentes escopos utilizados para o tratamento de dados pessoais. Isso faz com que algumas precisem ter um foco maior nas ações para adequação à lei do que outras.
Há, no entanto, um fator em comum: todas precisarão rever os seus processos de coleta e tratamento de dados para garantir a aplicação da LGPD na prática.
É importante que as empresas tratem a adequação à LGPD como um projeto corporativo, que deve ser aplicado de forma completa em todas as áreas.
Veja a seguir algumas dicas importantes para o processo de adequação:
1. Forme uma equipe multidisciplinar: por ser um assunto multidisciplinar, vale a pena criar um Comitê ou Grupo de Trabalho, com representantes de todos os setores, para coordenar as ações a serem implementadas. As áreas de Segurança da Informação, Jurídico e Compliance são as mais indicadas para liderar esta frente.
2. Atribua o papel de encarregado de proteção de dados a um colaborador: esta pessoa deve acompanhar o projeto e centralizar todas as necessidades da atualização.
3. Cheque todas as informações referente à LGPD: assim, é possível garantir a completa visibilidade dos dados e a conformidade das soluções de segurança da empresa com as diretrizes da LGDP.
4. Reavalie a real necessidade de utilização de informações pessoais em seus processos: com isso é possível cortar excessos e riscos de vazamento de dados desnecessários para a empresa.
5. Implemente o privacy by design: isso garante que todos os novos projetos sejam concebidos já levando a privacidade em consideração.
6. Teste a segurança de sua empresa: por mais que a empresa invista em tecnologia para assegurar a segurança dos dados, é preciso testá-los para garantir se não há nenhuma brecha que permita a invasão de cibercriminosos.
LGPD na prática e falhas de segurança
Tão importante quanto garantir a proteção de dados da empresa, adequar-se à LGPD também evita prejuízos à empresa, como no caso de roubo de informações e dinheiro, paralisação de seus serviços e diversos outros danos.
De acordo com relatório divulgado pela Fortinet, o Brasil é o terceiro país que mais sofre tentativas de ataques virtuais no mundo. Em 2020 foram mais de 8,4 bilhões de tentativas de ataques cibernéticos, de um total de 41 bilhões em toda a América Larina e Caribe.
Esses ataques a sistemas corporativos são responsáveis pela maioria das crises de imagem e confiança em negócios que armazenam e utilizam dados de clientes.
A quarentena e o aumento do trabalho remoto ampliaram ainda mais a necessidade de investir na LGDP na prática. O uso de novas tecnologias e o regime home office aumentou o número de vulnerabilidades, bem como o de ataques.
Dados do setor indicam que as vulnerabilidades mais encontradas em organizações durante a quarentena são falhas que expõem dados sensíveis de usuários, como o PII (Personally Identifiable Information).
O alarmante é que essa categoria de vulnerabilidade, muitas vezes, não é explorada por meio de uma falha técnica, mas sim de uma falha de processo.
Outro fator preocupante é a prática de extorsão que os cibercriminosos podem cometer, caso identifiquem alguma fragilidade que possibilite o acesso a informações pessoais que estão sob a custódia de uma empresa. A organização poderá sofrer tentativas de usurpação, já que o hacker sabe que um incidente pode custar multas milionárias, transformando-a em refém.
Bug Bounty: um programa poderoso para aplicar a LGPD na prática
Com mudanças recorrentes no setor de segurança, novas vulnerabilidades surgem diariamente. Essa ameaça constante popularizou os programas de Bug Bounty.
O programa ajuda na identificação de fragilidades tecnológicas e de processos que permitem o acesso às bases de dados das empresas. Isso é feito a partir da união de especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes.
A iniciativa recompensa e/ou remunera pesquisadores que comunicam falhas de segurança. Isso permite que as empresas tenham seus sistemas testados de forma contínua, garantindo um tempo menor entre a descoberta da vulnerabilidade, a identificação no sistema e a correção do bug.
Posso confiar no Bug Bounty?
Sabemos que este é um processo que gera muitas dúvidas, mas a resposta a esta pergunta é sim!
A utilização de programas desse tipo é considerada uma boa prática e tem sido cada vez mais adotada por governos e grandes empresas, como Google e Facebook.
Por meio do Bug Bounty, as empresas podem abrir programas em diversas modalidades, levando em consideração:
- O tipo de serviço;
- O escopo do trabalho;
- A recompensa a ser oferecida;
- A escolha de especialistas;
- A avaliação e triagem de relatórios;
- A verificação e correção de falhas nos serviços.
Após alinhada a modalidade, os especialistas realizam testes e buscam falhas em produtos e serviços, como sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão.
O foco da atividade é identificar falhas que possam representar riscos às empresas, como:
- Vazamento de dados, que impacta na LGPD;
- Invasão;
- Ataques por ransomware;
- Outro risco que traga prejuízo financeiro, operacional ou de imagem.
Uma vez encontrado o problema, o especialista produz e envia um relatório em poucos minutos.
O processo pode ser feito de forma preventiva para fazer correções no sistema com mais agilidade, já que normalmente as companhias levam cerca de 196 dias para perceber que foram atacadas.
A importância de investimentos em cibersegurança
Programas de recompensa por bugs já são uma realidade internacionalmente, e têm um papel fundamental na proteção de empresas. Principalmente porque garantem uma metodologia contínua de testes de segurança por meio das atividades de hackers éticos.
Contar apenas com serviços corporativos para proteção dos ativos de uma companhia pode não ser suficiente. Por isso o programa Bug Bounty tem um papel fundamental na proteção de empresas, pois garante uma metodologia contínua de testes de segurança por meio das atividades de hackers éticos.
A Bughunt fornece uma plataforma segura para testes de Bug Bounty, além de uma rede especialista e confiável de hackers éticos que podem te ajudar a assegurar o seu negócio.
Clique aqui e conheça nossa plataforma.