Regulamentos Gerais de Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia afetarão empresas no Brasil
A data limite para cumprimento dos novos Regulamentos Gerais de Proteção de Dados (GDPR) da União Europeia está se aproximando, dia 25 de maio de 2018.
No entanto, muitas empresas sequer sabem que serão afetadas por seus requerimentos ao redor da proteção de dados.
Como o GDPR afetará as empresas Brasileiras?
As duas maiores mudanças no GDPR são relativas ao escopo territorial, que não se aplicará apenas às empresas localizadas na União Europeia, mas a toda e qualquer empresa ao redor do mundo que proveja serviços a qualquer indivíduo que resida na UE; e nos requerimentos de segurança e controle ao redor dos dados pelos indivíduos. O não cumprimento com tais regulamentos, poderá resultar em grandes multas para as empresas, que serão calculadas em diversos níveis.
Sim, você leu corretamente, empresas estabelecidas no Brasil que forneçam serviços a residentes da EU estarão sujeitas ao GDPR. O principal objetivo do GDPR é proteger a informação dos residentes da União Europeia, provendo controle sobre seus dados, conhecimento do seu uso e proteção dos mesmos. Vamos analisar alguns dos principais pontos dos novos Regulamentos:
– Empresas deverão prover aos indivíduos total controle sobre os seus dados. Isso significa que se eles requererem a delação dos mesmos, a empresa deverá cumprir com a solicitação, entre outras ações.
– Empresas deverão explicar para os usuários e ter o consentimento dos mesmos sobre o porquê de algumas informações terem que ser providas (por exemplo, no momento de contratação ou registro), como ela será utilizada e se compartilhada, com quem e como. Isso, no entanto, não poderá estar nas letras miúdas e termos do contrato, mas cada ponto deverá ser aceito de maneira individual (por exemplo, através de check boxes), provando que o indivíduo leu e está ciente, e de acordo com cada um.
– Dados devem ser protegidos a todo momento e em todos seus estados (em transação, uso ou descanso).
– Em caso de perda ou risco de perda de dados, a empresa terá 24 horas para informar aos indivíduos afetados e acionar uma resposta ao incidente, e deverá divulgar aos órgãos determinados os detalhes do mesmo.
E em caso de não cumprimento com tais pontos?
Uma multa mínima de 2% da renda anual da empresa será aplicada em caso de perda da informação devido à falta de cumprimento com os requerimentos, resultando em vulnerabilidades, assim como também em caso de demora na resposta ao incidente ou notificação aos indivíduos afetados. As multas referentes ao descumprimento com os Regulamentos podem chegar a até €20 Milhões, ou 4% da renda anual da empresa, o que for mais alto. A multa será calculada de acordo com a Natureza do incidente, quantidade e tipo de dados perdidos, resposta ao incidente e notificação.
Então, mais uma vez, mesmo estando estabelecida no Brasil, se a sua empresa provê serviços a indivíduos que residem na UE, ela estará sujeita ao GDPR e deverá cumprir com seus requerimentos, ou estará sujeita a multas.
Os Riscos
De acordo com o Relatório de Violação de Dados 2016 da Verizon:
– 63% das violações de dados ocorrem através da exploração de credenciais de acesso fracas, roubo de credenciais ou reutilização de senhas
– 30% dos e-mails de phishing são abertos
– 12% dos conteúdos maliciosos dos e-mails de phishing são acessados
E as causas mais comuns dessas violações são:
– Ausência de métodos robustos de autenticação
– Ausência de controle e segregação dos acessos nos sistemas
– Falta de Criptografia ou configuração errônea da mesma
– Falta de segurança na gestão de informação confidencial, através de e-mails ou canais não criptografados
– Sistemas não atualizados (patches)
– Ausência de identidades/autenticação dos dispositivos que têm acesso às redes corporativas
Como evitar multas, estar em cumprimento, e assegurar a proteção dos dados?
Existem inúmeras maneiras de as empresas evitarem as multas, as principais medidas devem ser tomadas ao redor do consentimento, controle e segurança dos dados. Algumas são:
– Implementação de uma plataforma robusta de gestão e governança de identidades e acessos
Uma plataforma completa permitirá à empresa: implementar métodos robustos de autenticação de acordo com o sistema, usar lógica de uso baseada em cargos e permissões, realizar modificações e atualizações das políticas de acordo com a necessidade ao longo do tempo. Além de permitir a delegação do controle e consentimento dos usuários, através da implementação do autoatendimento.
Alguns benefícios extras:
– Diferentes contratos podem ser aplicados de acordo com a região
– Consentimento explícito de usuários no momento do registro ou contratação
– Implementação de métodos robustos de autenticação, que podem ser modificados de acordo com o sistema, cargo ou necessidades do mercado, sem a necessidade de uma nova plataforma
– Segregação de acessos por cargo
– Diminuição dos custos com suporte e atendimento ao consumidor
– Infraestrutura de Chaves Públicas (Certificados Digitais SSL/PKI)
A presença da criptografia em todos os estados dos dados é essencial para o GDPR, pois a correta configuração dos certificados digitais SSL/TLS, junto à proteção da chave privada, permite que os dados estejam fora do limite de criminosos, mesmo em caso de violação de sistemas ou invasão. 4% dos dados violados em 2016 encontravam-se criptografados, e tais dados foram considerados inutilizáveis pelos criminosos cibernéticos.
Além disso, certificados de PKI em geral, podem ser utilizados para:
– Identificar dispositivos na rede, evitando o acesso de dispositivos não autorizados
– Criptografia de e-mails
– Não repudio da informação
– Identificação das partes incluídas na comunicação (evitando ataques de phishing)
– Segregação do sistema
Este ponto está bem alinhado com a gestão de identidades e acessos, uma vez que a segregação de acessos permite que a empresa evite o comprometimento de todos os sistemas em caso de violação, permitindo que sistemas críticos estejam separados e que políticas robustas de acesso sejam aplicadas aos mesmos.
– Atualização dos sistemas (patches)
É importante que as empresas sempre tenham seus sistemas atualizados, pois atualizações contêm melhorias, aumentam a segurança e muitas vezes consertam determinadas vulnerabilidades. Quanto menos pontos de entrada para os ciber criminosos, menores os riscos.
Estas são apenas algumas medidas que podem auxiliar no aumento da segurança e cumprimento com os padrões do GDRP. Como nós sabemos, muitos mercados, especialmente na América Latina, seguem os passos do mercado Europeu no que se trata de requerimentos e políticas de segurança e privacidade da informação. Tomar medidas preventivas, ao invés de reativas poderá economizar tempo, dinheiro, evitar a perda de reputação, multas e posicionar a empresa de maneira competitiva, à frente no mercado. Prepare-se para ser um exemplo de segurança, não para pagar multas.
* Laila Robak – IT Security Entrepreneur / CEO Digitall International / Director of Partnerships Digicert Inc.
Leia Também…
Como evitar Espionagem e Manipulação de dados na Era da Internet das Coisas
Provide Secure Identites, Reduce Costs, Increase Revenue – By Laila Robak