Yuri Alexandro
Falar sobre a importância de proteger as informações de terceiros não é, de fato, um tema novo. Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor, já podemos ver uma mudança no que se refere à conscientização em relação às novas regras, tanto por parte das empresas, quanto do próprio consumidor. Por outro lado, tivemos uma série de vazamentos em grandes empresas nos últimos dois anos que ganharam as manchetes dos principais jornais e noticiários, o que tem levado a um debate cada vez maior sobre o assunto.
Com o avanço da tecnologia e o uso sempre crescente de recursos de tecnologia da informação em nosso dia-a-dia, a tendência é que ainda mais incidentes ocorram. De acordo com o levantamento anual “Panorama de Ameaças 2021”, publicado pela Kaspersky, o aumento de ciberataques no Brasil direcionados à empresas visando roubo de dados aumentou em 78% nos 8 primeiros meses de 2021, em comparação ao mesmo período de 2020. A boa notícia é que estamos em uma curva de aprendizado ascendente, onde as organizações cada vez mais entendem a responsabilidade de proteger as informações sob seu controle, tanto de ameaças externas, quanto também de internas.
Claro que poderíamos estar mais avançados em relação à adequação à legislação de proteção de dados no Brasil. Isso porque uma adequação bem feita, naturalmente, leva tempo, uma vez que é um processo que tem um grande nível de complexidade que pode envolver, por um lado, uma ampla revisão nos processos de negócio da organização e nas soluções de tecnologia da informação adotadas para executá-los, bem como das nuances de aplicação das regulamentações definidas na lei, e, a essa dificuldade, se somou a falta de um órgão normatizador e fiscalizador no início da vigência da lei em 2018, uma vez que a ANPD foi criada em 2020. Por isso, ainda temos um caminho muito longo a ser percorrido. É um desafio mudar diretrizes e a tecnologia porque envolve investimento em ativos de informação, soluções tecnológicas, além de horas de trabalho e capacitação do corpo técnico e administrativo.
Afinal, sabemos que a segurança dos dados envolve hoje muito mais do que tecnologia. Os pilares de segurança da informação são constituídos de mais outros dois elementos: processos e pessoas. Por isso, antes de se falar em soluções tecnológicas mágicas, é preciso dar um passo para trás e cuidar, primeiramente, dos processos realizados dentro das organizações e avaliar o que precisará ser modificado para que se adequem a essa nova realidade.
Além disso, também é necessário um eficiente treinamento das pessoas que vão lidar com informações pessoais de terceiros, para que elas tenham essa percepção de lidar com esses dados apenas para o que for estritamente necessário para a empresa desenvolver suas atividades ou prestar seu serviço de forma correta. Isso porque a lei estabelece que não é permitido armazenar, usar, compartilhar ou realizar qualquer tipo de tratamento de dados pessoais sem finalidade, necessidade e sem a correta adequação. E o consumidor, por sua vez, pode, a qualquer momento, desistir de disponibilizá-los ou, até mesmo, se negar a fornecê-los se entender que seus dados pessoais estão sendo usados de maneira excessiva, ilícita ou abusiva.
E se engana quem pensa que apenas organizações que usam os dados pessoais como ‘matéria-prima’ para suas atividades-fim precisam pensar em criar mecanismos seguros e repensar os seus processos. Qualquer empresa que lida com dados pessoais de forma direta ou indireta precisa passar por essa adequação para não incorrer em desconformidade e estar sujeita a sanções. Por exemplo, ainda hoje muitas organizações não têm a correta percepção de que a utilização de informações pessoais de seus colaboradores, ainda que para realização de processos internos, também precisam ser revistas e que podem necessitar de consentimento e autorização prévios por parte de seus colaboradores.
A partir disso, podemos explorar algumas tendências em tecnologias pensadas para a segurança desses dados. Em 2022, veremos as empresas cada vez mais buscando diminuir os riscos existentes em cada um dos possíveis pontos de vazamento de dados pessoais, aplicando soluções de segurança da informação que não se restrinjam aos recursos presentes em seus escritórios ou data centers, mas também às conexões remotas de colaboradores – que podem, inclusive, usar seus dispositivos pessoais – e os serviços em nuvem, na medida que proporcionam confiabilidade, além de cada vez mais capacidade e escalabilidade.
Diante disso, ouviremos falar muito sobre soluções SASE (Secure Access Service Edge) e Zero Trust. A SASE nada mais é do que uma estrutura que oferece serviços de rede e segurança de forma convergente por meio de uma plataforma única e nativa de nuvem. Além disso, combina recursos de rede de comunicação como serviço, aliando o acesso remoto a recursos de forma segura, baseada em políticas, independentemente do local de onde os dispositivos que solicitam os recursos, assim como também do local dos recursos de rede aos quais eles estão solicitando acesso.
Já o Zero Trust é um modelo de segurança de rede baseado no conceito da concessão de privilégios mínimos e rígido e permanente controle de acesso para cada recurso dentro de uma rede. O modelo abandona a ideia do pressuposto de confiança implícita que outrora havia em pessoas e dispositivos que já estão dentro do perímetro de uma rede organizacional e estabelece que somente usuários específicos e dispositivos previamente autorizados, devidamente autenticados e que atendam a requisitos de configuração e segurança pré-determinados podem acessar os recursos de TIC e dados da organização, ao mesmo tempo em que protege as aplicações e usuários contra ameaças da Internet. O modelo Zero Trust limita nativamente o acesso somente ao necessário, além de monitorar e identificar atividades suspeitas e/ou maliciosas durante todo o tempo de acesso do dispositivo.
Portanto, para os próximos anos, veremos ainda mais mecanismos pensados para assegurar a proteção dos dados pessoais, aliados a uma conscientização maior da sociedade, que defenderá o seu uso de maneira ética, socialmente responsável e visando o benefício dos próprios titulares, seja através da sociedade civil organizada, dos organismos regulatórios e fiscalizatórios ou mesmo através dos próprios titulares, que estarão, espero, mais instruídos sobre os seus direitos.
Por isso, minha sugestão é que todos, titulares e empresas, acompanhem de perto o trabalho desenvolvido pela ANPD, a qual tem criado os devidos entendimentos, interpretações e aplicações da LGPD, e tornado público através de guias, textos, eventos e vídeos, com o objetivo de tirar dúvidas a respeito da questão de proteção de dados pessoais no Brasil. Tenho certeza de que a sociedade se beneficiará (e muito!) dessa nova realidade, desde a pessoa física até a jurídica. Vale acompanhar de perto essa evolução que, acima de tudo, nos garante o pleno exercício da cidadania e o direito à privacidade e ao livre desenvolvimento da nossa personalidade.
Coordenador de Privacidade e Encarregado pelo Tratamento de Dados da Rede Nacional de Ensino e Pesquisa (RNP)