7 dicas para criar uma estratégia eficiente de proteção de dados
A Lei Geral de Proteção de Dados está em vigor de fato desde agosto deste ano, quando as penalidades passaram a valer. Mas, o que isso significa na prática pra quem não trabalha com tecnologia da informação?
“No cenário internacional, você nem entra mais no jogo se não estiver compliance, mas, no Brasil, a LGPD ainda é um diferencial competitivo”, afirmou Leandro Mattos, experte da SU Brazil, em evento sobre cibersegurança promovido pelo Learning Village. À frente da CogniSigns, healthtech selecionada para um programa de aceleração do governo dos Emirados Árabes, ele compartilha a percepção internacional sobre políticas de regulamentação de compartilhamento de dados. “Os Emirados Árabes já viviam essa realidade de proteção de dados, que também é o comum na Europa [a General Data Protection Regulation foi criada em 2016 e impulsionou o desenho da lei brasileira]. Acho que a LGPD pode ser uma oportunidade enorme para quem sair na frente no Brasil.”
A oportunidade apontada por Mattos encontra respaldo em números de mercado. Segundo um cálculo divulgado pela HRTech Convenia, 40% das empresas brasileiras não têm estratégias contra vazamentos de dados, uma das principais orientações da LGPD – e 30% ainda não atualizaram contratos trabalhistas, de serviços, política de privacidade, tampouco realizou movimentos simples, como coletar assinatura dos colaboradores para os termos de confiabilidade de dados. “No caso das startups, cujo objetivo é ganhar o mundo, crescer, fazer negócios lá fora, ter o compliance em dia pode significar fechar negócio. Mas é importante saber que compliance não é algo que se faz hoje pra amanhã, não é uma política de cookie no site”, afirma a advogada Vânia Takiainen.
Deixar de fazer o básico – zero trust, anonimização, especialmente no caso de dados sensíveis – além de resultar multas de até R$ 50 milhões, pode representar queda na confiança por parte do consumidor. “Quem não se adequar vai estar fora de qualquer negócio”, diz cyber security advisor Henrique Campos.
7 MANDAMENTOS DA POLÍTICA DE PROTEÇÃO DADOS
- Conheça sua estrutura : mapeie todos os dados físicos e digitais que você possui de seus colaboradores, clientes, fornecedores etc.
- Cheque como essas informações foram coletadas e se elas têm autorização de seus donos, além de data da coleta.
- Não colete sem consentimento: toda oferta ou anúncio tem que ter uma autorização prévia.
- Categorize ferentes dados: públicos, restritos, confidenciais e os armazene separadamente.
- Zero trust é recomendação oficial dos especialistas. Ou seja: nada de deixar a senha com todo mundo, dar acessos generalizados ou descuidar do backup.
- Não faça do BYOD um ídolo. O uso dos equipamentos pessoais nas empresas demanda estratégia planejada pra não comprometer a segurança– sim, a empresa sempre será a responsável por eventuais vazamentos de funcionários e/ou colaboradores.
- Respeite o anonimato: o primeiro layer de proteção, especialmente em relação a dados sensíveis (saúde, raça, religião etc.), é anonimizar os dados.