Os crescentes casos de roubo de dados têm virado notícia recorrente nos veículos de comunicação. Afinal de contas, informações pessoais passaram a ser uma valiosa moeda com a qual os criminosos cometem golpes, fraudes e chantagens dos mais diversos níveis. Para se ter ideia, de acordo com um estudo da Surfshark, o Brasil é o 4º país do mundo que mais apresentou casos de usuários violados no segundo trimestre de 2022. Isso significa, em média, que 459 pessoas têm seus dados vazados a cada 60 segundos. Por isso, é muito importante saber como proteger os dados da sua empresa dos ataques cibernéticos.

Hoje, dia 28 de janeiro, o mundo celebra o Dia Internacional da Proteção de Dados Pessoais, uma data para conscientização. Pensando nisso, convidamos para conversar conosco o nosso oficineiro Leonardo Bolek, Engenheiro de Dados da Wunderman Thompson. Esse profissional, inclusive, já palestrou sobre Segurança Cibernética & Proteção de Dados em dezembro do ano passado, trazendo dicas importantes para os participantes.

Proteção de Dados do ponto de vista legal

Antes de partirmos para a nossa entrevista com Bolek, também conversamos com a Tábata Faleiro, Advogada da Nesello & Daiello Advogados, empresa coworker do Oficina670. Em resumo, ela nos deu uma visão mais ampla sobre a legislação brasileira, regida pela Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020.

Segundo ela, o principal objetivo da lei é trazer transparência ao tratamento de dados de pessoas físicas procedido por instituições públicas ou privadas. “Uma empresa em acordo com a LGPD evita transtornos legais e financeiros, assim como garante a preservação de direitos humanos e fundamentais como dignidade, privacidade, intimidade e liberdade pessoal”, explica.

Por falar nesses direitos, confira na íntegra a nossa conversa com Leonardo Bolek.

1 – Cada vez mais se tem ouvido falar que os dados são a nova mina de ouro para os criminosos cibernéticos. Por que as empresas precisam se preocupar com isso?

É fundamental para as empresas se preocuparem com isso, pois qualquer negócio que conte com processos digitalizados precisa não apenas transmitir segurança como manter a integridade das informações que são confiadas à sua gestão, tanto de clientes quanto da própria organização.

2 – Quando já em posse dessas informações pessoais e empresariais, quais têm sido os principais usos desses dados roubados?

Muitos dos dados roubados são utilizados como meios de chantagear a vítima, no caso, a empresa. Esses dados também podem ser vendidos em fóruns na dark web para terceiros, com o mesmo intuito de chantagear ou explorar novas falhas de segurança.

3 – O início das sanções da LGPD no Brasil em 2021 forçou as empresas a tomarem mais cuidado com os seus dados e de seus clientes. Em geral, como você avalia o nível de maturidade empresarial em relação ao assunto? Ainda temos muito caminho a percorrer?

Infelizmente temos muito caminho a percorrer. A LGPD é nova e muitas empresas ainda não estão preocupadas com ataques cibernéticos e violações de dados. Estudos recentes feitos por empresas do ramo de segurança cibernética, como a Tanium e a Kaspersky Lab, mostram que a maioria das empresas começam a se preocupar com proteção de dados somente após sofrerem algum ataque cibernético, o que é preocupante.

4 – Para um empreendedor que começou a pensar na Proteção de Dados agora, qual seria a sua sugestão? Por onde começar e qual caminho percorrer?

Primeiramente, é imprescindível para a empresa se adequar à LGPD. O segundo passo é documentar a política de compartilhamento de dados dentro da empresa, deixando claro quais dados devem ser compartilhados pelos colaboradores e quais devem ficar limitados a determinados setores e/ou cargos. Também é importante regulamentar as ferramentas que serão utilizadas e os procedimentos de segurança adotados, como trocas de senhas e backup.

Por fim, a empresa sempre pode buscar profissionais qualificados nas áreas de segurança da informação ou segurança cibernética ou até mesmo contratar empresas terceirizadas especializadas.

5 – Depois de implementados todos os protocolos de Proteção de Dados, quais são as regras básicas para mantê-los sempre em dia?

Existem muitas técnicas de segurança, mas podemos citar aqui as mais importantes:

• Trocas regulares de senhas: é fundamental para a empresa criar uma política de troca de senhas, mudando-as preferencialmente de 3 em 3 meses, utilizando caracteres diversos como letras maiúsculas, minúsculas, números e caracteres especiais;
• Backup: também podemos enfatizar a criação de um sistema de backup para armazenar os dados em um local seguro e com acesso restrito, que garantam a confidencialidade, integridade e disponibilidade destes dados;
• Manter as licenças e softwares em dia: é extremamente importante manter os sistemas atualizados, pois a cada atualização, muitas falhas de segurança são corrigidas;
• Criar uma conscientização de segurança: a empresa também pode investir em treinamentos, oficinas e palestras para os colaboradores com o intuito dos mesmos aprenderem a manusear arquivos, abrir emails e links de maneira segura, bem como criar uma conscientização sobre como evitar e se proteger de ataques cibernéticos.

6 – A publicidade e interação online via redes sociais, e-mail ou WhatsApp têm sido uma maneira efetiva das empresas serem mais notadas e converterem mais vendas. Qual é o limite para esses contatos? Existem regras?

As empresas devem ter a autorização direta do cliente para que elas enviem ofertas ou entrem em contato com o mesmo por WhatsApp, email ou redes sociais. Caso contrário, o contato direto sem a autorização é uma clara violação da privacidade e de dados, e nestes casos o cliente pode buscar os seus direitos.

7 – Empresas que desejam realizar negócios internacionais precisam ter seus sites, por exemplo, de acordo com a GDPR, certo? A lei de fora é igual à do Brasil ou são necessários cuidados adicionais?

Tendo em vista que a LGPD se inspirou na GDPR, muitas normas são parecidas, entretanto, a GDPR está mais amadurecida no quesito de controle e aplicabilidade. De qualquer maneira, as empresas que querem realizar ou já realizam negócios internacionais devem manter-se adequadas à ambas, pois podem sofrer multas e sanções.

8 – Os dados da minha empresa vazaram, e agora? Quem precisa ser avisado e como proceder?

O primeiro passo é comunicar à Autoridade Nacional de Proteção de Dados, criando uma documentação sobre o ocorrido com informações sobre a natureza do vazamento ou ataque, descrevendo os tipos de dados vazados e mantendo total transparência com a comunidade, para que os titulares dos dados possam estar cientes do ocorrido.

Prevenção para a segurança de dados é a melhor escolha

Como já disse Marcos Perez, professor da Universidade de São Paulo, em uma publicação da Revista Piauí, “os dados pessoais são o carvão, o aço e o vapor da quarta revolução industrial.” Por isso, é de extrema urgência que as empresas passem a olhar para eles com muito zelo e responsabilidade.

Conforme Tábata, advogada aqui no Oficina670, após mais de 2 anos da LGPD entrar em vigor, reflexos positivos já podem ser percebidos em diversas organizações. No entanto, mais do que cuidar dos dados pessoais de seus clientes e parceiros, ao adequar-se à lei a empresa conquista diversos outros benefícios. “Adotar medidas de proteção e segurança de dados significa preocupar-se com clientes e colaboradores, fortalecendo o negócio como um todo e trazendo confiabilidade, fidelização e, consequentemente, agregando valor comercial ao negócio”, conclui.