LGPD: O que é, como vai funcionar e o que muda para sua empresa!

lgpd-vanzolini-690x503

Entenda de vez a Lei Geral de Proteção de Dados.
LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados (Lei nr 13.709) sancionada em 14 de agosto de 2018 e que entra em vigor a partir de agosto de 2020. Seu principal objetivo é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Esta lei chega para alterar a Lei nr 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet que regulava estas transações até então.

A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio do ano passado e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento. A intenção é proporcionar proteção dos dados das pessoas físicas contando com a penalidade de multas para motivar o seu cumprimento por parte das empresas.

O cenário que temos hoje
Atualmente, as pessoas jurídicas podem solicitar às pessoas físicas, no momento do seu cadastro para compras ou outras finalidades, uma série de dados que muitas vezes não tem a menor relação com a finalidade da empresa. E engana-se quem pensa que esses dados serão depositados apenas no seu big data.

Na verdade, muitas vezes esses dados que deveriam ser confidenciais são comercializados sem autorização do consumidor, o que resulta em uma série de incômodos aos quais infelizmente já estamos acostumados: malas-diretas, spams, telefonemas e uma série de contatos realizados por empresas para quem nunca fornecemos informações ou demonstramos qualquer interesse.

A partir do advento da nova legislação o cenário mudará, já que o proprietário dos dados deverá sinalizar seu consentimento de forma clara e as pessoas jurídicas que mesmo assim ignorarem esta prerrogativa estarão sujeitas a multas de até 50 milhões de reais. Eis aí um bom motivo para sua empresa ficar atenta aos novos procedimentos.

O que vai mudar com a nova LGPD?
A nova lei prevê em seu teor 9 hipóteses que tornam legais os tratamentos de dados. Dentre eles, 2 merecem destaque:

É necessário obter o consentimento explícito por parte do titular dos dados. Ou seja, ele deverá ser claramente informado dos termos de uso e extensão da autorização e precisa concedê-lo livremente.
A partir de agosto do ano que vem, uma empresa só poderá recolher determinados dados a partir da autorização do proprietário desses dados, ou seja, o titular. Ou seja, deverá comprovar que a sua coleta será útil para sua interação com seus consumidores.
É importante lembrar ainda que os titulares dos dados poderão a qualquer momento retificar, cancelar ou até mesmo solicitar sua exclusão.A LGPD empodera o consumidor, dando a ele controle sobre seus dados e a possibilidade de punir os responsáveis por qualquer dano causado pelo mau uso das suas informações.

Criada a partir da MP 869/18, a Autoridade Nacional de Proteção de Dados será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.
190313_Fluxograma-LGPD

Como se adequar às novas exigências

O primeiro passo é criar dentro da empresa um Comitê de Segurança da Informação responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos.

Dentro deste processo é importante fazer um mapeamento bem detalhado a respeito de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Saber para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros – no Brasil ou exterior. A partir do resultado dessa análise, será possível avaliar o nível de maturidade dos processos dentro da organização os riscos envolvidos.

Detectadas as deficiências, chega a hora de iniciar os procedimentos para tornar a transação de dados totalmente segura tanto para a empresa quanto para os consumidores.

Quem estará envolvido no processo de proteção de dados

São 4 os atores que participarão ativamente da proteção dos dados em cada empresa:

O titular

Seria o proprietário dos dados, no caso as pessoas físicas.

O controlador

É representado pelo tomador dos dados, ou seja, as pessoas jurídicas

O operador

A empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas

O encarregado

É o profissional que responde pela proteção dos dados da empresa. É o seu representante, que fará contato com a ANPD quando necessário e pode até ser responsabilizado junto com a pessoa jurídica no caso de mal uso dos dados ou seu vazamento por qualquer motivo.

O que se conclui diante de todo esse cenário é que a entrada em vigor da LGPD significa um grande desafio tanto para as empresas, que precisarão rever vários processos de governança e privacidade de dados, tais como: gestão de consentimento (tanto as autorizações quanto as revogações), gestão das petições abertas por titulares dos dados (que em muitos casos deve ser respondida imediatamente), gestão do ciclo de vida dos dados dentro da empresa (data mapping e data discovery) e implementação de técnicas de anonimização (os dados nesta condição não serão considerados dados pessoais pela lei, desde que o processo seja comprovadamente irreversível).

 

Fonte: https://www.senior.com.br/blog/lgpd-o-que-e-como-vai-funcionar-e-o-que-muda-para-sua-empresa/

Por que criptografar o backup?

A criptografia hoje está em todo lugar: no armazenamento de arquivos, na rede WiFi, na internet e na nuvem. O objetivo é proteger informações daqueles que, de outra forma, poderiam utilizá-las para causar danos. As informações são a força vital de uma empresa e os backups a maneira de assegurar que elas não sejam corrompidas, perdidas, roubadas ou incorretamente editadas.

Qual é a razão para criptografar dados em um backup?

Em vez de perguntar por que criptografar os backups, talvez seja melhor tentar justificar o contrário: “Por que não criptografar os backups?” É mais difícil encontrar um motivo justificável para não pensar em criptografia.

Como criptografar backups?

Existem duas tecnologias básicas de criptografia de backup que ajudam a proteger os backups: criptografia de dados local e criptografia do lado do servidor.

criptografia de dados local utiliza chaves controladas pelo cliente para criptografar os dados antes que esses saiam do servidor ou da rede, ficam configuradas dentro do aplicativo de backup.

A nossa solução protege os dados com criptografia AES (Advanced Encryption Standard) de 256 bits, padrão utilizado em todo o mundo e que em 2003, foi reconhecido pelo governo dos EUA como seguro o suficiente para proteger dados importantes. É um algoritmo simétrico, o que significa que a mesma chave funciona para criptografar e descriptografar as informações.

O que é uma chave de criptografia?

É como uma senha com combinações de letras, números e símbolos. Poderia ser tão simples (e insegura) quanto utilizar “Senha12345”, algo complexo e impossível de se lembrar como “2k&qER^U^rGp[?n[?i9h$SFZtet_”^” ou uma frase secreta memorável como “A minha primeira escola estava situada na Rua Treze de Julho.”. Veja nosso artigo Reforce a segurança das suas senhas, explicando sobre a complexidade e comprimento da senha, lembrando que o importante é que quanto mais difícil a chave, mais difícil será quebrar a criptografia via ataque de força bruta.

Lembrando que com backups criptografados, apenas quem tiver acesso aos arquivos de backup mais às chaves criptográficas poderão descriptografar os dados.

O que acontece se a chave de criptografia for perdida?

Nesse caso não será possível descriptografar os backups. Por isso essa chave precisa ser guardada em um local seguro (acessado através de uma senha segura ou um documento criptografado com acesso limitado).

Como a criptografia do lado do servidor funciona?

A criptografia do lado do servidor (Server-Side Encryption) protege os dados em repouso (não em transporte ou transferência) no nível de armazenamento. É um recurso que é oferecido por muitos provedores de armazenamento na nuvem, alguns como Google Cloud Platform habilitam por padrão, já em outros como Amazon e Microsoft necessita ser ativado, todos utilizam padrão AES com chaves de 256 bits e são gratuitos.

Esse tipo de criptografia atua nos dados automaticamente quando eles chegam para serem armazenandos no disco, depois automaticamente descriptografa os dados quando esses saem, tudo isso através de chaves de criptografia gerenciadas pela conta do serviço da nuvem.

Os dados no disco são criptografados, como uma camada transparente de dados sem senhas para lembrar. É uma camada adicional de criptografia que envolve apenas um clique (ou no caso do Google, nada). O melhor exemplo de seu valor é o seguinte: um documento comercial importante é salvo no armazenamento em nuvem, porém sem aplicar qualquer criptografia local, sê alguém entrar na instalação de armazenamento em nuvem e roubar um disco rígido, os dados estarão protegidos mesmo sem a criptografia local e com força bruta, simplesmente porque o invasor não terá acesso às chaves de criptografia controladas pelo serviço e não poderá fazer nada com os dados brutos no disco. O arquivo estará seguro.

Conclusão

Para finalizar, uma última pergunta, se há criptografia local dos dados, há necessidade de usar a criptografia do lado do servidor? A resposta curta é sim. É uma camada adicional de proteção, transparente. Então por que não? Com certeza é melhor um ambiente com duas camadas de criptografia do que com apenas uma.

Conheça a nossa solução de backup gerenciado, ideal para estações e servidores, cuidamos da segurança dos dados de ponta a ponta, entre em contato conosco hoje mesmo 11 4112-5211 whasApp.

Programa utilizado: Macrium Reflect ( Servidor ou Desktop).