BR +55 11 3069 3925 | USA +1 469 620 7643

Resolvendo questões da conformidade com a LGPD com a Gestão de Acesso Privilegiado

por | abr 29, 2022 | Blog

Em razão do crescente desenvolvimento tecnológico no mercado, podemos perceber claramente o quanto mudou a tendência de compra dos consumidores de produtos e serviços. Por meio de tecnologias mais práticas, como é o caso de celulares, notebooks e tablets, a facilidade para se relacionar com empresas através da internet está a um clique de distância, apenas.

Percebendo esse novo comportamento de consumo, as marcas viram aí uma necessidade de garantir presença digital, a fim de conquistar novos públicos. Em consequência dessa migração, foi necessário dispor de estratégias de marketing digital para captar clientes, e entre as estratégias mais utilizadas para gerar conversões, está a coleta de informações de usuários.

A LGPD foi sancionada em 2018 para certificar-se de que esses dados coletados pelas empresas (seja um e-mail, CPF ou número de telefone) fossem armazenados e utilizados de maneira segura e transparente.

Desde a sua divulgação, foi muito discutido entre as empresas como se adaptar às normas estabelecidas pela lei, já que o impacto no tratamento de dados é enorme na maneira que as empresas vão criar suas estratégias de comunicação e proteger os dados pessoais de forma efetiva.

As empresas que ainda não se adequaram à LGPD estão sujeitas a multas de 50 milhões de reais, o que traria grandes prejuízos para qualquer organização.

Continue a leitura do texto e esclareça todas as suas dúvidas sobre a LGPD e a forma em que ela pode impactar a sua empresa.

O surgimento da LGPD

A Lei 13.709/2018, popularmente conhecida como LGPD (Lei Geral de Proteção de Dados) acabou sendo sancionada no ano de 2018. Foi criada para que os dados pessoais disponibilizados para empresas se tornassem ainda mais seguros, ou seja, coletados e armazenados de forma eficiente.

De forma prática, sabe-se que essa lei oferece poder ao usuário em relação aos seus dados. Ou seja, ele pode definir a forma como as empresas podem dispor de seus dados sensíveis, e como deverão ser tratados. Além disso, esses usuários podem simplesmente negar o compartilhamento de suas informações, uma vez que não são obrigados a isso.

Seguindo a linha prática da LGPD, os usuários devem estar cientes quanto à utilização e tratamento de  suas informações pessoais pelas empresas que as coletaram. Além disso, os usuários podem optar pela remoção de seus dados da base de dados da empresa em questão.

As regras estabelecidas pela LGPD aplicam-se aos seguintes tipos de dados:

  • Dados Pessoais: são aqueles que identificam um indivíduo, por exemplo, CPF, telefone, nome completo, endereço, e-mail, fotografia, endereço IP, entre outros.
  • Dados Sensíveis: referem-se às informações sobre uma determinada pessoa que podem levá-la a sofrer discriminação ou preconceito. Por exemplo, orientação sexual, etnia, posicionamento político, convicções religiosas, entre outros.

Os dados podem ser obtidos tanto por meio físico quanto digital e nos dois casos vão estar cobertos pela proteção oferecida pela Lei. Por isso, ao conseguir tais informações é importante possuir também consentimento de uso.

Com respeito aos dados sensíveis vale ressaltar que somente podem ser coletados se houver uma autorização explícita do titular e devem ser empregados apenas para um objetivo definido, que também pode ser chamado de interesse legítimo.

Todas as instituições e estabelecimentos jurídicos, sejam públicos ou privados, que usam dados de terceiros, clientes ou até mesmo funcionários precisam se adequar a LGPD.

Porém, antes de você colocar em prática medidas para regulamentar sua empresa, é importante saber os 10 princípios da privacidade que a LGPD exige das empresas, que são:

    1. Princípio da Finalidade: Informar a finalidade de estar colhendo aqueles dados ao usuário.
    2. Princípio da Adequação: Os dados terão que ser tratados de forma que faça sentido com a finalidade que foi informada ao titular.
    3. Princípio da Necessidade: Solicite apenas as informações necessárias para a execução da finalidade.
    4. Princípio do Livre Acesso: Dar garantia ao titular dos dados pessoais que ele possa saber a forma e o período que seus dados serão utilizados.
    5. Princípio da Qualidade dos Dados: A qualidade dos dados informados serão de responsabilidade da empresa.
    6. Princípio da Transparência: É necessário que o usuário receba um aviso com uma lista detalhada de como seus dados pessoais poderão ser utilizados. 
    7. Princípio da Segurança:  Ter meios que garantam que apenas pessoas autorizadas acessem àquele dado.
    8. Princípio da Prevenção: Os dados não podem ser compartilhados com outras empresas ou pessoas não autorizadas a manuseá-los.
    9. Princípio da Não Discriminação: Os dados não podem ser utilizados para fins ilegais.
  • Princípio da Responsabilização e Prestação de Contas: Necessário possuir o termo que garante que os 10 princípios estão sendo seguidos.

Para garantir a integridade dos dados pessoais, é necessário que seu time de segurança da informação contribua muito, já que proteger totalmente os dados pessoais é necessário que a empresa possua um controle de acessos privilegiados eficiente.

Que permita que apenas pessoas autorizadas acessem as informações e garanta a segurança de alguma ameaça interna ou externa, além de registrar todo o tipo de ação feita nos dados pessoais.

A GDPR Europeia como inspiração para Brasileira LGPD

Existe uma lei europeia, popularmente conhecida como GDPR (Regulamento Geral sobre a Proteção de Dados). Foi a partir dela que a LGPD apoiou suas principais premissas acerca da segurança dos dados e informações compartilhadas de usuários.

A GDPR é a versão atualizada de outra lei de privacidade da União Europeia, chamada “Data Protection Directive” (Diretriz de Proteção de Dados, em tradução livre), em vigência desde 1995. A GDPR tem proteção de lei e a Data Protection Directive é apenas um guia de boas práticas.

A União Europeia considera a proteção de dados pessoais um direito de qualquer pessoa que resida ou esteja dentro do território europeu. Com isso, se a pessoa for brasileira e estiver na Europa os seus dados estarão garantidos pela GDPR só pelo fato dela estar em solo europeu.

A LGPD complementa o Marco Civil da Internet (Lei 12.965/14) e chega em uma época marcada por grandes vazamentos de informações que envolvem o uso indevido de informações pessoais.

Em linhas gerais, as duas legislações são muito semelhantes, pois ambas tratam do tema Privacidade, determinando a proteção de dados pessoais presentes em bancos de dados de empresas.

A proposta principal é que o indivíduo tenha respeitado o direito de saber quais informações ele fornece aos serviços que usufrui. Além disso, a entidade deve explicar o porquê de requisitar determinados dados ao cliente, e para qual finalidade eles serão usados.

Apesar da semelhança, a legislação Brasileira possui alguns itens mais específicos. Destacamos a seguir 7 pontos importantes sobre os direitos garantidos aos brasileiros:

  1. Ser informado da coleta e compartilhamento de seus dados sempre que ocorrer.
  2. Acesso total aos seus dados, incluindo a possibilidade de corrigi-los.
  3. Solicitar que seus dados fiquem anônimos.
  4. Garantia de bloqueio ou exclusão de dados.
  5. Ter a opção de desautorizar cookies ao acessar um site e receber a informação de que isso compromete o desempenho de navegação e a personalização.
  6. Solicitar e ser respeitado no seu desejo de interromper comunicações.
  7. Revisar decisões automáticas de algoritmos relativas a seus dados, com direito a solicitar revisão humana.

A LGPD foi criada para ajudar a manter a proteção de dados pessoais por meio da garantia da integridade das informações dos usuários e da sua segurança. É importante que cada cidadão tenha consciência da real importância dos seus dados e de como a disponibilização destes pode impactar tanto a sua vida como a de outras pessoas. 

Cada usuário e cidadão deve conhecer seus direitos, caso seja vítima de crimes cometidos virtualmente por brasileiros ou estrangeiros. Além disso, ao constatar a violação de seus dados por parte de empresas, sejam elas estrangeiras ou não, o usuário tem o direito de buscar sua defesa amparado na LGPD.

Você está curtindo esse post? Inscreva-se para nossa Newsletter!

Newsletter Blog PT

1 + 15 =

Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.

O impacto da LGPD para as empresas brasileiras

Olhando para o lado empresarial, esses novos processos orientados pela Lei vão insistir que os negócios sejam extremamente criteriosos e minuciosos acerca dos termos de uso dos respectivos dados. Logo, as marcas precisam deixar muito bem explicadas todas as formas de uso em relação às informações prestadas pelos usuários. Sem contar que esses negócios também devem promover ações para que o próprio usuário consiga gerenciar suas informações.

Para que essas atividades possam ser realizadas de maneira eficiente e, sobretudo, de acordo com as diretrizes impostas pela LGPD, é necessário que cada empresa se atente às principais regras que ela orienta acerca dos dados coletados.

O que se tem visto bastante no mundo empresarial, é que as marcas têm contratado profissionais para lidar especificamente com esses processos, fazendo com que os setores internos que precisam dos dados pessoais dos clientes e leads possam trabalhar de forma ainda mais segura, e dentro da lei.

A nova Lei fornece diretrizes sobre como deve funcionar o tratamento de dados recolhidos sendo extremamente importante garantir a segurança dos mesmos. Veja o que sua empresa precisa fazer até agosto para se adequar:

1.Contratação de um Encarregado de Dados (Data Protection Officer)

Para que os dados sejam manipulados da forma correta, algumas organizações vão precisar indicar alguém para ocupar o cargo de encarregado do tratamento de dados pessoais.

As principais atribuições dessa função vão ser:

  • Atuar como intermediário entre a empresa e o proprietário dos dados, deve facilitar a comunicação entre ambas as partes e atender as reclamações e solicitações do titular.
  • Estabelecer a conexão entre a corporação e o governo, ele vai receber instruções da ANPD (Autoridade Nacional de Proteção de Dados) e cuidar para que sejam cumpridas.
  • Garantir que os colaboradores atuem dentro das normas estabelecidas pela LGPD, para isso, vai fornecer treinamento e orientação para manipularem os dados de forma adequada.
  • Seguir as atribuições estabelecidas pelo controlador e executar normas complementares que a firma decidir realizar para garantir a segurança da informação.

2. Análise da proteção de dados e privacidade

É essencial revisar a atual política de privacidade e proteção e fazer os ajustes necessários. O titular precisa estar ciente de como os seus dados serão usados e quais as proteções garantidas para decidir se vai fornecê-los ou não.

Faça um planejamento estratégico e confira todos os controles e processos da empresa procurando soluções para as situações de risco. Devem-se procurar possíveis lacunas na segurança para conseguir minimizar os riscos de perdas, furtos ou sequestro de informações.

Com a adoção da LGPD é fundamental adotar medidas administrativas e técnicas que sejam eficazes em proteger as informações. Por exemplo, para prevenir sua empresa contra roubos de dados é possível usar softwares como o senhasegura.

3. Capacitação dos funcionários

Com o intuito de que as normas da LGPD sejam adotadas por todos os funcionários é essencial investir tempo e recursos em treinamentos. Para atingir esse objetivo é possível oferecer cursos, palestras, entre outros.

Os empregados precisam entender como podem evitar vazamentos e conhecer suas responsabilidades e consequências caso.

Além disso, alguns dados são restritos a determinados setores, os seus integrantes devem compreender isso e ter o compromisso com as informações sob seus cuidados por não compartilhá-las com terceiros.

Em tempos de pandemia, em que muitos trabalhadores aderiram ao serviço à distância é interessante fornecer orientações sobre como podem manter a segurança durante o trabalho remoto.

É extremamente importante que a adoção de medidas para a proteção de dados se torne parte do pensamento coletivo e individual de todos os colaboradores, tornando-se parte da cultura empresarial.

4. Cuidado com parceiros e terceirização

Aqueles que são parceiros de seu negócio ou que prestam serviços terceirizados também se enquadram dentro da LGPD.

Os contratos de fornecedores e terceirizados que têm acesso às informações de sua empresa precisam ser revisados para garantir que estejam de acordo com as regras internas e externas de privacidade dos dados.

É preciso que empreendimentos parceiros também possuam uma cultura de privacidade e segurança a fim de que não surjam problemas no futuro e para que sua empresa se mantenha dentro do limite de risco previamente estabelecido.

 

Os principais desafios enfrentados para a conformidade

Promover uma transformação digital por meio da segurança da informação e da LGPD ainda é um desafio. O cidadão precisa estar preparado para exercer sua cidadania nesse âmbito e ter informações ao seu dispor que o ampare. 

Além disso, especialistas assumem que o Estado deve tratar o assunto com cautela, já que o estreitamento máximo dessa regulamentação, desconsiderando os seus efeitos em outros países, pode levar ao isolamento internacional diante do resto do mundo. 

Todas essas perspectivas implicariam em menos investimentos estrangeiros e enfraquecimento das negociações e relações internacionais entre países e empresas, gerando um forte impacto em diversas áreas, principalmente na economia. 

Espera-se, então, que o Brasil avance na corrida pela liderança e autonomia da informação global, tratando o assunto de modo sensato dentro das próprias dependências e transformando-o em política de Estado.

As penalidades para quem não se adequar

As penalidades da Lei de Dados começaram a ser executadas a partir de 1º de agosto de 2021. Conheça algumas das sanções para quem descumprir as regras da LGPD:

  • Multa de até 2% do faturamento da empresa, podendo chegar ao montante de R$ 50 milhões por infração cometida.
  • Suspensão parcial do funcionamento do banco de dados pelo período de até 6 meses com possibilidade de prorrogação por igual período.
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por até 6 meses, prorrogável pelo mesmo tempo.
  • Proibição parcial ou total do exercício de atividades que lidem com o tratamento de dados.

Para que não venha a sofrer prejuízos providencie que as normas da LGPD comecem a ser cumpridas pelo seu estabelecimento.

Pense em que mudanças sua empresa precisa fazer, por exemplo, se tentassem invadir o banco de dados da sua empresa em busca de dados pessoais de seus clientes ou de funcionários, ela estaria realmente segura?

A importância da proteção de dados pessoais

Para os estados, é um assunto de extrema relevância para garantir a proteção dos cidadãos e potencializar a economia e a tecnologia do país por meio do fluxo e manipulação das informações. 

Para as empresas, manter os dados de clientes restritos à própria corporação e dentro de servidores locais é um gasto muito alto, por isso muitas delas recorrem ao armazenamento de dados em nuvem, como o cloud computing, para garantir o armazenamento de uma grande quantidade de dados. É nessa transferência para a nuvem que as empresas podem deixar seus próprios dados e dos clientes vulneráveis. 

Por isso, é necessário investir em camadas de segurança, optar por soluções de gerenciamento de dados, como o Privileged Access Management (PAM), por exemplo, e contar com o apoio da legislação para garantir a segurança da empresa e dos clientes. 

Já do ponto de vista dos usuários e cidadãos, sem uma política de proteção, além de correrem o risco de ter seus dados amplamente utilizados para fins comerciais e governamentais sem o devido consentimento, ficam mais vulneráveis à crimes cibernéticos que podem ficar impunes, exceto em casos de ocorrência em território nacional.

A gestão de acesso privilegiado como caminho para a conformidade com a LGPD

Agora que foi possível ter um panorama do que é LGPD e quais quesitos são esperados das empresas e instituições, chegou o momento de compreender mais sobre a gestão de acesso privilegiado.

É importante mencionar que esses novos cuidados estão previstos nos artigos 46 e 49 da nova lei, mencionando a importância de controles administrativos para proteção dos dados pessoais que são captados via internet.

O primeiro passo para assegurar que a sua empresa está de acordo com esse termo é ter um mecanismo que seja capaz de mapear e configurar o acesso de cada um dos colaboradores. Afinal, existem informações que não devem ser acessadas por todas as pessoas e precisam ficar apenas para os setores e equipes que necessitam dessas informações.

Sendo assim, é fundamental que todos sejam incentivados a acessar as informações que sejam pertinentes para a realização das atividades diárias, sem excesso de acessos ou sem o compartilhamento indevido das informações. É o que chamamos de Princípio do Privilégio Mínimo.

Estar sempre revisando os acessos e os usuários que devem ter acesso a determinados dados também é uma maneira de garantir que a sua empresa está seguindo o passo a passo como é esperado.

Assim, fica mais fácil perceber se existem colaboradores que estão infringindo alguma das leis e porque a quantidade de acesso ainda está acima do que era o esperado.

Para auxiliar nessa rotina, muitas instituições passaram a atuar com um registro dos usuários, capaz de mapear quais foram as pessoas que acessaram determinadas informações e quantas vezes esses dados foram visualizados.

Outro ponto importante que não deve ficar de lado é a inclusão ou o ato de deletar um colaborador quando ele começa ou sai da empresa. Esse é um erro comum que muitas instituições acabam comentando sem pensar nas consequências legais.

senhasegura, a sua solução PAM

Estas regulamentações relacionadas à privacidade dos dados são muito positivas, pois buscam trazer um equilíbrio entre a proteção de dados pessoais, a dignidade da pessoa humana, a privacidade, a honra e a imagem das pessoas, assim como a livre iniciativa e o uso econômico dos dados, de forma legítima, responsável, proporcional e razoável.

Para o atendimento às duas regulamentações, soluções tecnológicas como o senhasegura, uma solução de gerenciamento de acessos privilegiados, que controla de forma automatizada todo o gerenciamento de acessos de usuários privilegiados, incluindo a gravação de sessões para posterior auditoria, entre outras funcionalidades, são fundamentais para o sucesso de uma estratégia de gerenciamento de dados.

Soluções de PAM auxiliam as corporações a aliviar e evitar perdas de negócios e penalidades financeiras. Em muitas organizações, os administradores de sistema recebem direitos completos de superusuário com pouca supervisão. 

A ausência de governança de acesso adequada para contas privilegiadas leva a um acúmulo de privilégios em excesso, contas órfãs, conflitos de propriedade e outros problemas de governança.

As organizações precisam ir além dos métodos de compartimentação de senha e políticas estáticas para restringir e monitorar o acesso privilegiado. Uma boa maneira de resolver isso de forma efetiva, é contratando uma solução PAM. Uma boa solução PAM gerencia todos os pontos que você precisa dar atenção, garante a segurança interna e externa e ainda registra todas as ações realizadas dentro dos bancos de dados.

Uma das empresas mais respeitadas de pesquisa e consultoria em TI do mundo, o Gartner, destaca o senhasegura como uma das melhores soluções de PAM do mercado mundial em seu relatório denominado Critical Capabilities for PAM, o qual avalia a tecnologia PAM e sua capacidade de executar e fornecer a funcionalidade necessária para o universo da cibersegurança.

Se você ficou interessado em saber como funciona uma solução PAM, fale conosco e solicite uma demonstração!

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Aplicando Zero Trust no PAM

A implantação do modelo de segurança baseado em Zero Trust ganhou espaço nos últimos tempos, promovendo entre as organizações o padrão de nunca confiar, sempre verificar antes de conceder acesso ao seu perímetro. Essa prática é extremamente importante para garantir a...

Cofre de senhas: guia completo

Neste artigo, explicaremos o conceito de cofre de senhas, sua importância, benefícios e vulnerabilidades, entre outros aspectos. Para facilitar sua leitura, dividimos nosso texto nos seguintes tópicos:  Cofre de senhas: o que é? Qual a importância de um cofre de...

Como gerenciar o ciclo de vida de credenciais?

O gerenciamento eficiente do ciclo de vida de credenciais é de extrema importância para garantir a segurança digital de uma organização. Esse mecanismo permite controlar o acesso privilegiado a dados sigilosos, reduzindo a superfície de ataque. Sendo assim,...

Os segredos da resiliência cibernética

Nos últimos anos, o mundo evoluiu consideravelmente, com empresas adotando cada vez mais iniciativas digitais, como a Nuvem, IoT, Big Data, Inteligência Artificial e Aprendizado de Máquina. E a pandemia da Covid-19 forçou as organizações a acelerar a adoção dessas...

Porque participar do Gartner IAM SUMMIT

Cibersegurança é um assunto cada vez mais presente nas reuniões em todos os níveis de uma organização. E com o aumento da digitalização e conectividade das organizações, os riscos cibernéticos estão cada vez mais associados a riscos de negócio, e não estão limitados...
Copy link
Powered by Social Snap