Encarregado não é “DPO”: entenda uma das principais dúvidas criadas pela Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados trará, ao longo dos anos, um grande ganho de maturidade para as pequenas e médias empresas no que diz respeito à segurança da informação. A despeito de ter entrado em vigor em 2020, foi no último mês de agosto que as sanções e multas impostas pela lei passaram a valer, causando uma forte procura por ferramentas que contribuíssem para a adequação e, naturalmente, gerando uma série de dúvidas.

Um dos principais pontos de discussão neste processo de adaptação diz respeito ao papel do “encarregado de dados”, pessoa indicada dentro da empresa para atuar como canal de comunicação entre o “controlador” (em geral uma pessoa jurídica), os “titulares de dados” (que tem seus dados tratados por aquela pessoa jurídica) e a Autoridade Nacional de Proteção de Dados, agência criada pelo governo para garantir a execução da LGPD.

Essa confusão vem das origens da Lei aqui no Brasil, uma vez que a mesma foi construída com base na GDPR, norma que regula o tratamento de dados criada pela União Europeia, e que entrou em vigor em 2018. Na GDPR, existe a personalidade do Data Protection Officer, um profissional com papel executivo, com papel de auditor e que tem o objetivo de implementar controles, garantir a adequação e fiscalizar as normas de proteção dos dados.

Como a LGPD passou por um longo período de maturação até que fosse finalmente sancionada pelo governo Michel Temer, muito da informação que circulou entre as empresas e responsáveis pela área de tecnologia tinha como referência a lei europeia. Por isso, como CEO de uma importante fornecedora de tecnologia para a segurança da informação, é normal me deparar, dentro dos clientes, com esta confusão entre o papel do “encarregado”, da LGPD, e o “DPO”.

A verdade é que o papel de DPO não existe na legislação brasileira, porque o encarregado não compartilha das mesmas responsabilidades legais de um Data Protection Officer. Na lei brasileira, seu papel é de garantir a conformidade de uma organização, pública ou privada, à LGPD. Este encarregado, inclusive, pode ser uma pessoa física ou jurídica, que presta serviços para diferentes empresas.

A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do “controlador”, que detém os dados, ou do “operador de dados”, pessoa física ou jurídica que efetivamente faz o tratamento e uso dos mesmos.

Do ponto de vista das pequenas e médias empresas, essa diferenciação da lei europeia é, de certa forma, um alívio. Pelo aspecto financeiro, a contratação ou manutenção de um profissional ou empresa com responsabilidades de DPO poderia gerar custos inviáveis, que só estariam ao alcance das grandes corporações.

Ela também é positiva para os gestores de TI, que passam a ter as responsabilidades pela implementação da LGPD compartilhadas com seus superiores, contrariando uma lógica comum das PMEs de entregar tudo o que é relativo à tecnologia para o “cara da TI”. A lei deixa claro que cuidar dos dados pessoais tem que ser uma atividade contínua e executada pelas diferentes áreas do negócio.

Jefferson Penteado, CEO da BluePex

Notícia divulgada no Portal:

Como as PMEs podem se proteger contra ransomware

Por Ulisses Penteado

CTO BluePex S/A

Falar da necessidade de proteger os dados pessoais não é algo novo. Desde a Declaração Universal dos Direitos Humanos, aprovada pela Assembleia Geral das Nações Unidas em dezembro de 1948, passando pela Convenção Americana sobre Direitos Humanos, de 1969, a sociedade civil organizada já estabelecia limites para tentar proteger a intimidade de cada indivíduo.

Mais recentemente, em 1988, quando foi promulgada a Constituição Federal, que em seu artigo 1º fala sobre a dignidade da pessoa humana, até os tempos atuais, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a forma de abordar o direito à privacidade pode ter mudado. No entanto, o que não mudou foi a necessidade de manter o que é privado em sigilo. Em uma sociedade ideal, a frase anterior poderia parecer um pleonasmo, já que ninguém tem o direito de ter acesso a dados que são privativos. No entanto, isso está longe de se confirmar na prática, seja no Brasil ou no restante do mundo.

E, em tempos de pandemia, aumentou ainda mais a incidência dos temidos ataques de ransomware — software malicioso que infecta o computador, criptografa os dados e possibilita que o criminoso exija o pagamento de resgate em moedas não rastreáveis, como bitcoin. Um estudo divulgado recentemente aponta que, nos primeiros seis meses do ano, o aumento no número de casos desta natureza no mundo foi de 72%, devendo chegar a 20 mil até o fim de dezembro.

Uma das explicações para esse aumento vertiginoso é a alteração nos processos de segurança. Quando a grande maioria das empresas precisaram, como de medida de segurança emergencial, enviar seus colaboradores para trabalhar de casa, expuseram seus sistemas, já que as redes domésticas, sem boas práticas de segurança, são muito mais vulneráveis a ataques. E mesmo no caso de redes seguras, seguindo boas práticas de segurança, com VPNs (que mantêm seguros os dados enquanto trafegam pela rede) e firewalls, temos que lembrar que o equipamento que está utilizando a VPN, ou seja, o ambiente onde ela opera, pode estar infectado e comprometido, afetando a segurança da rede.

Na maioria das vezes, os ataques são bastante simples. O que você faria, por exemplo, se recebesse em seu e-mail pessoal o seguinte comunicado: “Sequestramos dados sensíveis que você não gostaria que fossem divulgados”. A genericidade da mensagem faz com que a preocupação de qualquer um vá às nuvens e comece a passar pela cabeça todo tipo de ilação, desde o dia que você deixou a câmera do computador aberta, dados da companhia onde você trabalha que poderiam ser estratégicos para a concorrência até os pagamentos recebidos que poderiam te comprometer com o imposto de renda, ou, ainda, aquelas informações sensíveis de família, que não têm nada de ilegal ou imoral, mas cuja divulgação te incomodaria.

Então pergunta-se: como proceder? Não dá para trabalha no escritório por conta do alto nível de transmissibilidade do novo coronavírus. Mas, por outro lado, enviar os colaboradores para trabalhar de casa sem a devida preparação tecnológica é colocar tudo o que a empresa construiu em risco. Uma resposta possível, que manterá as atividades em dia, de maneira que impacte minimamente sua operação e, ao mesmo tempo, proteja os colaboradores, é contratar uma empresa respeitável em relação à segurança, controle e disponibilidade.

Algumas tecnologias como a VPN já faziam parte do dia a dia das empresas. Entretanto, muitas delas não englobam todos os pontos necessários para que tudo funcione bem em momentos críticos como o que estamos atravessando.
Outras medidas essenciais são: bloquear o acesso a sites perigosos, realizar sazonalmente treinamentos de pessoal para que os colaboradores estejam atentos aos alertas e evitem a navegação inapropriada nesses ambientes virtuais e instalar uma solução de proteção contra malware nas estações de trabalho mesmo fora da empresa. Vale lembrar que a VPN cria uma espécie de túnel entre o ambiente remoto e a empresa, gerando assim uma gama de possíveis riscos à toda a corporação.

Por último e não menos importante: é primordial que se faça um acompanhamento sistêmico das soluções de proteção. Sabemos que muitos profissionais de TI acabam tendo orçamento e tempo restritos, o que é extremamente perigoso. Implementar e não acompanhar o andamento do sistema pode ser até pior do que não contar com nenhuma segurança, já que transmite uma falsa sensação de segurança.

Por todos esses motivos, é imprescindível contar com uma solução que atenda na nuvem, e que abranja todos os serviços em um só, priorizando segurança, controle e disponibilidade para a empresa. Essa característica de one stop shop (encontrar tudo em um único fornecedor) também torna o produto mais acessível, podendo ser até dez vezes mais barato que a contratação de cada uma das funcionalidades de segurança de forma separada ou, ainda, se toda a tecnologia fosse desenvolvida pelo time interno da empresa.

Além de contar com esse fornecedor de tecnologia robusto para se protegerem, os colaboradores de PMEs podem ser orientados a colocar com medidas práticas simples, como a ativação da verificação em duas etapas para os aplicativos, que não abram nenhum link desconhecido, além da verificação constante se a máquina não possui computadores “zumbis” rodando em segundo plano e a negar qualquer pedido feito por telefone ou SMS de números de confirmação.

*Ulisses Penteado é CTO da BluePex, empresa que desenvolve soluções de segurança da informação para o mercado corporativo.

As multas para LGPD já podem ser aplicadas, mas as empresas estão prontas?

Por Ulisses Penteado

CTO BluePex S/A

Empresas e órgãos públicos que infringirem a Lei Geral de Proteção de Dados (LGPD) poderão agora ser multados. As penalidades começam neste mês de agosto e vão desde advertências até pagamentos iguais a 2% do faturamento, até um limite de R$ 50 milhões. A LGPD também pode proibir que essas empresas e órgãos públicos mantenham atividades relacionadas ao tratamento de dados.

A Lei Geral de Proteção de Dados foi aprovada em 2018 e entrou em vigor em setembro de 2020. A LGPD estabelece uma série de regras sobre os processos de coleta, armazenamento e compartilhamento de informações e tem a função de proteger os dados pessoais de todo cidadão que esteja no Brasil.

O cidadão precisa ser informado de como os dados fornecidos a empresas e órgãos públicos serão usados, e então concordar com o compartilhamento dessas informações. A LGPD determina que o cidadão é o titular dos seus dados, e não as empresas e órgãos públicos que têm as informações registradas. O texto prevê consentimento do usuário para coletar, alterar, excluir ou compartilhar um dado, assim como também dispõe que as instituições adotem medidas segurança para evitar violação de informações e que notifiquem o titular em caso de incidentes.

Empresas e órgãos públicos serão punidos pelo uso indevido dos dados pessoais de consumidores e cidadãos, incluindo vazamentos. Segundo a Rádio Senado, as sanções serão aplicadas pela Autoridade Nacional de Proteção de Dados, criada em setembro do ano passado. As exigências da LGPD valem tanto para as lojas físicas quanto para virtuais, situadas no país ou no exterior que ofereçam serviços para pessoas no Brasil.


As empresas estão preparadas para as multas da LGPD?

Uma pesquisa feita com 997 empresas pelo empresa de tecnologia RD Station, em parceria com a Manar Soluções em Pesquisa e Eduardo Dorfmann Aranovich e Cia Advogados, mostra que a adaptação à LGPD ainda é lenta entre as empresas.

93% dos entrevistados dizem conhecer ou pelo menos já ter ouvido falar sobre a Lei Geral de Proteção de Dados. 68% das empresas ouvidas pela pesquisa já conhecem ou estão se informando sobre as punições para quem desrespeitar a LGPD. Porém, apenas 15% se mostram prontas ou na reta final de preparação para a entrada em vigor das sanções. 19% não fizeram nenhuma adequação até o momento.

O resultado é que apenas 26% dos entrevistados “adotam providências e consideram sua base de dados segura”. 38% “já adotam medidas de segurança da informação, mas não têm certeza de sua efetividade”; 22% “não adotam medidas de segurança”; e 14% “não souberam informar”.

“Existe uma pulverização de motivos apontados pelas empresas para a falta de adequação. Isso sugere uma falta de clareza sobre os processos necessários para estar em linha com a Lei”, escreve a RD Station no estudo. A empresa de tecnologia elencou como principais motivos complexidade das medidas; ausência de pessoas especializadas; e ausência do conhecimento necessário.

Apenas 14% dos entrevistados dizem não ter encontrado nenhuma dificuldade até o momento. Mesmo assim, as empresas participantes da pesquisa não estão dispostas a investir muito para o enquadramento à LGPD.
Apenas 8% das empresas projetam uma atuação integrada entre várias áreas internas para se adaptar à Lei Geral de Proteção de Dados. 19% dos entrevistados disseram que não possuem a figura do Encarregado de Proteção de Dados (DPO) contratado ou não souberam informar qual área lidera a adequação às normas.

28% pretendem gastar menos de R$ 10 mil, enquanto 55% ainda não sabem o quanto irão investir ou não pretendem gastar nada. 21% das empresas não têm intenção de capacitar seus profissionais, e outras 16% ainda não sabem se vão investir em capacitação. 35% ainda não realizaram capacitações, mas pretendem fazê-las, e apenas 28% já realizaram capacitação.

Outra pesquisa mostra um resultado ainda mais preocupante, restringindo a análise apenas para PMEs. Só 4% das pequenas e médias empresas se consideram preparadas para a LGPD, segundo um estudo da empresa de soluções de segurança da informação BluePex feito com cerca de 1.000 PMEs. O número é um leve avanço em relação a uma pesquisa feita pela BluePex em outubro de 2020. Na ocasião, a porcentagem era de 2%. 27% das pequenas e médias empresas se consideram “parcialmente preparadas”. 55% dos gestores ainda buscam informações para se adequar à legislação. Por fim, 12% ainda não iniciaram nenhuma ação para adequação à LGPD.


O futuro da LGPD

Fernanda Nones, Data Protection Officer na RD Station, enxerga que o futuro da Lei Geral de Proteção de Dados é otimista apesar desses dados. “Percebemos que as empresas já têm conhecimento sobre a lei, apesar de a adequação ainda caminhar a passos lentos. Vemos também que os principais desafios não estão ligados à questões que colocam em cheque eficácia da lei, mas sim a questões estruturais, como ausência de capital para investir no tema, falta de profissionais qualificados e ainda desafios estruturais, como definir quais são as áreas e pessoas que devem estar envolvidas no processo. Ainda temos um longo caminho pela frente, mas o cenário é muito promissor.”

Vítor Pedrozo, sócio da consultoria Grant Thornton Brasil, afirma que as empresas devem trabalhar rapidamente para se adequar à LGPD. A Lei Geral de Proteção de Dados passará a fazer parte da governança corporativa, e será um processo contínuo de bom tratamento dos dados.

“Quanto mais demora, menos tempo útil para se fazer testes e entender qual é a estrutura mais adequada para a empresa”, ressaltou. “Mais do que a multa financeira, o empresário deve pensar na reputação da sua empresa. Ninguém quer ter sua marca associada ao uso inadequado de dados dos clientes no noticiário.”

O executivo prevê que a ANPD vai atuar de forma mais educacional nos primeiros meses. “Vai ser uma postura de conscientização, para criar uma cultura e alertar as pessoas sobre a importância da Lei. Acredito que, inicialmente, possam ter algumas advertências e avisos, mas para casos recorrentes a sanção financeira se aplicará.”

BluePex lança atualização da BluePex Cloud Suite

A BluePex, empresa que desenvolve soluções de segurança da informação para o mercado corporativo com foco em segurança e compliance, anunciou o lançamento de uma nova versão do pacote de gestão de vulnerabilidades no gerenciamento centralizado de firewall do BluePex Cloud Suite.
O recurso já está disponível na solução que também agrega proteção com inteligência artificial, monitoramento de ameaças e alertas, entregue na nuvem. Por meio de inteligência artificial e machine learning, o software entrega a empresas de qualquer porte e MSP´s experiência na administração e proteção de seus ambientes.

“A gestão de vulnerabilidades é o grande antídoto contra as ciberameaças. Agora torna-se possível administrar de forma centralizada diversos recursos de uma rede, sendo Firewall, endpoints, antivírus, websites. Além disso, os administradores podem realizar bloqueios e aplicação de políticas por nível hierárquico de maneira simples e intuitiva”, explica Jefferson Penteado, CEO da BluePex.
O BluePex Cloud Suite é uma plataforma em nuvem (no modelo SaaS) para gerenciamento centralizado de firewalls, antivírus, identificação e prevenção de ameaças, entre outros. Com a atualização, a solução se adequa às necessidades de qualquer porte de empresa.

“Os recursos de gerenciamento centralizado melhoram a gestão tanto de empresas enterprises, como a gestão do dia a dia de profissionais MSPs com seus clientes”, conclui Penteado.

Notícia divulgada no Portal ERP

LGPD coloca pressão inédita nos responsáveis pela Tecnologia da Informação das PMEs

No caso de uma pequena ou média empresa, as pesadas multas estipuladas pela lei podem levar, em casos extremos, à quebra do negócio
Por Jefferson Penteado

Válida no Brasil desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) – que criou uma série de normas para as empresas que, de uma forma ou de outra, fazem tratamento de dados – entra neste mês de agosto em uma nova fase. A partir do dia 1º, as sanções previstas pela legislação para as empresas que não se prepararam de forma adequada para protegerem seus dados e acabaram tendo vazamentos começarão a ser aplicadas. No caso de uma pequena ou média empresa, as pesadas multas estipuladas pela lei podem levar, em casos extremos, à quebra do negócio.

Diz a sabedoria popular de nosso País que “o brasileiro deixa tudo para a última hora”, e nesse caso não está sendo diferente. Pesquisa feita pela BluePex em julho, com cerca de mil PMEs, mostrou que apenas 4% delas alegam estar totalmente adequadas às normas da LGPD. Ou seja, 96% estão correndo contra o relógio, ou atrás do prejuízo. É hora de acordar para o problema.

Esse cenário, que pode ser catastrófico para as empresas, se tornou um pesadelo para os responsáveis pela tecnologia da informação das PMEs. Diferentemente das grandes corporações, onde existem equipes maiores e mais preparadas, normas de compliance e uma maior organização em relação aos aspectos de segurança da informação, nos negócios de menor porte, cuidar desse “bicho de sete cabeças” chamado LGPD é visto como uma “responsabilidade do cara de TI”.

Números da mesma pesquisa promovida pela BluePex mostram o tamanho deste problema: 37% das mesmas empresas, ou seja, mais de um terço delas, acreditam que a adequação à LGPD passa, exclusivamente, pela área de Tecnologia da Informação.

Isso mostra um grande desconhecimento em relação aos aspectos da tão importante legislação: se os dados permeiam praticamente todas as áreas de uma organização moderna (como RH, atendimento ao consumidor, marketing, jurídico, financeiro, etc), é natural que os responsáveis por estas áreas também sejam envolvidos e tenham responsabilidade no processo de adequação.

É claro que a TI também será protagonista nesse processo, com a responsabilidade de conduzir e implementar todos os procedimentos indispensáveis de segurança no processo de coleta, armazenamento e tratamento das informações e dados digitais. Mas de forma alguma essa “carga” pode ser transferida 100% para os profissionais de tecnologia.

Mas como mudar o pensamento da direção da empresa a respeito disso? A busca por parceiros de tecnologia e serviços de segurança da informação confiáveis, que auxiliem a empresa nesse processo e mostrem para a alta gestão a dimensão do impacto da LGPD dentro das diferentes áreas é, na minha opinião, o melhor caminho.

Deixar “o cara de TI” com responsabilidade integral pela adequação à nova lei é um grande erro que muitas empresas estão cometendo. Não pela falta de competência destes profissionais, mas pela óbvia necessidade de envolvimento da empresa como um todo para que esse processo seja bem sucedido. Ignorar essa afirmação pode custar muito caro no futuro.

*Jefferson Penteado é fundador e CEO da BluePex, especializada em soluções de segurança da informação e compliance

Notícia divulgada no Portal

Você pediu dashboads intuitivos?

Você pediu dashboards intuitivos?

Você controla tudo do seu computador. Seus colaboradores estando no escritório ou em home office.