Em maio, quando tiver início a vigência da Regulamentação Geral da Proteção de Dados (GDPR), todas as empresas do mundo que lidam com dados de pessoas ou serviços dos países da União Européia (UE) vão aderir a um novo e complexo conjunto de diretrizes de segurança. Em caso de “não-cumprimento”, essas empresas podem ser multadas em até 4% do faturamento global anual ou € 20 milhões (aproximadamente R$ 80 milhões) – vai prevalecer o valor que for maior.
Em termos mundiais, este é um cenário bastante preocupante que chama a atenção pelo fato da maioria das empresas que fazem negócios com cidadãos ou outras empresas da UE ainda terem uma cultura de “resistência”, mostrando-se pouco preocupadas com a nova regra – a qual representa uma mudança significativa na forma como os dados devem ser tratados.
E no Brasil a situação não é diferente, se levarmos em consideração que o País é frequente alvo dos hackers e que temos notado a falta de priorização das ações de proteção de dados por parte dos gestores de segurança.
Que tipos de empresas brasileiras estão sujeitas à GDPR?
As empresas de entretenimento, as empresas de viagem, os fornecedores de software e as empresas de comércio eletrônico sediadas no Brasil são alguns exemplos de “quem” vai ser obrigado a reavaliar as próprias atividades na internet – como marketing online, venda de produtos ou simplesmente o cadastro de informações com objetivo de compor base de dados. Essa é uma forma inicial de garantir a privacidade dos dados e evitar a possibilidade de vazamento dos mesmos.
Exemplo de aplicação da GDPR: um site brasileiro de comércio eletrônico que é acessado por um internauta na Inglaterra – levando em consideração que este site está configurado para ser lido em inglês. Assim que o internauta digita os dados pessoais para se cadastrar, interpreta-se que o site também tem autonomia para executar ações de marketing em inglês direcionadas a ele, o que gera a obrigatoriedade de cumprir as normas da GDPR.
Faça um balanço dos dados da sua empresa
À medida que se aproxima a “chegada” da GDPR, é óbvio que fica reduzido o tempo para a execução de um balanço sobre a forma como os dados são tratados e se podem (ou não) ser atacados. Por isso, é um momento crucial para as empresas brasileiras reduzirem o perfil de risco utilizando o chamado “modelo de privilégio mínimo” – bloqueando dados confidenciais ou removendo contas inativas, entre outras situações.
A GDPR também vai adicionar requisitos à documentação de TI e enviar notificação aos consumidores – em até 72 horas – quando houver risco de violação (podendo ser destruição acidental ou ilícita, perda, alteração ou divulgação não autorizada dos dados) que afete seus “direitos e liberdades”. Por isso, é necessário reforçar as regras para “minimização de dados”, que consiste na coleta e manutenção do menor número possível de informações pessoais na rede corporativa. Mesmo que as empresas já possuam uma política para excluir dados “obsoletos”, a GDPR determina que esta prática de TI não seja mais uma opção e passe a ser uma regra da gestão corporativa.
Podemos dizer que, no Brasil, a ordem para as empresas é “automatizar proativamente as políticas de retenção e disposição dos arquivos (onde estão armazenados, quem está acessando e quem deve acessar)”. Fazendo isso, vão estar melhor preparadas para a conformidade e vão estar melhor protegidas contra ameaças de ataques cibernéticos.
* Carlos Rodrigues é vice-presidente da Varonis para a América Latina
