O vazamento de dados é uma violação da integridade dos dados pessoais e/ou dados sensíveis e invasão de sistemas sigilosos de uma organização, realizados por pessoas não autorizadas.
Como descrito na Cartilha sobre o tema, publicada pela ANPD, o vazamento pode ser originado: do furto de dados por atacantes e códigos maliciosos que exploram vulnerabilidades em sistemas do acesso a contas de usuários, por meio de senhas fracas ou vazadas da ação de funcionários ou ex-funcionários que coletam dados dos sistemas da empresa e os repassam a terceiros do furto de equipamentos que contenham dados sigilosos de erros ou negligência de funcionários, como descartar mídias (discos e pen drives) sem os devidos cuidados.
A LGPD e o vazamento de dados
A LGPD define a forma mais adequada para que os dados pessoais possam ser tratados por terceiros e visa estabelecer mecanismos para proteger os titulares contra usos inadequados e não autorizados.
Mais detalhes sobre a Lei Geral de Proteção de Dados
Como já introduzimos, a LGPD tem como uma de suas premissas a proteção aos dados pessoais, principalmente de uso inadequado e vazamento. Possui como objetivo proteger este direito fundamental, incluído recentemente na Constituição Federal.
A Lei aborda os direitos que asseguram uma maior transparência quanto ao tratamento dos dados, proporciona, como deveria ser, protagonismo ao titular visando aumentar o controle em relação aos seus dados, a transparência e a segurança jurídica necessária.
No artigo 47, a Lei determina que os agentes de tratamento — o controlador que toma as decisões sobre o tratamento dos dados; e o operador, que realiza o tratamento em nome do controlador, devem adotar medidas de segurança (técnicas e administrativas) aptas a proteger acessos a dados pessoais não autorizados e de situações ilícitas como:
- destruição;
- perda;
- alteração;
- ou qualquer forma de tratamento inadequado.
A LGPD garante proteção a todos os dados referentes aos titulares, sendo eles em formato físico ou digital. A Lei não alcança os dados cujos títulos sejam de pessoas jurídicas, pois não são considerados dados pessoais para os efeitos da Lei.
O que é a ANPD?
A ANPD — Autoridade Nacional de Proteção de Dados Pessoais — é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais, por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
A instituição orienta e regula preventivamente sobre como aplicar a Lei e também tem competência para fiscalizar as pessoas jurídicas que não estiverem em conformidade com a lei. Para exercer tal responsabilidade, o órgão possui autonomia técnica e decisória assegurada por meios legais.
ANPD tem como missão assegurar a observância ampla e excelente da LGPD, garantir a devida proteção aos direitos fundamentais de privacidade, além de proporcionar o livre desenvolvimento da personalidade dos indivíduos.
Como evitar o vazamento de dados?
Para prevenir um vazamento de dados, é possível realizar uma série de precauções internas, visando o cuidado que o sistema necessita.
Para evitar vazamento de dados, é fundamental ter um Programa efetivo de Proteção de Dados e ter medidas de segurança de informação, como:
- investir em ferramentas de prevenção contra ameaças, como: firewall, antivírus corporativo, e-mail gateway e SIEM — gerenciador de eventos de segurança;
- manter os sistemas e softwares sempre atualizados;
- estabelecer políticas e ferramentas para autenticação do controle de acesso — é importante garantir a segurança do acesso físico ao ambiente de TI (Tecnologia da Informação);
- fazer análises de vulnerabilidade do sistema frequentemente, criando uma política de segurança consistente para colaboradores e parceiros;
- promover treinamento do time, ensinando a reconhecer as principais ameaças;
- estabelecer um processo interno para a comunicação e tratamento de incidentes de segurança.
Qual é a diferença entre vazamento de dados e incidentes de segurança?
Incidentes de segurança abrangem todo tipo de acontecimento que possa comprometer a segurança de dados e informações em geral.
A ANPD define um incidente de segurança com dados pessoais como um evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
Incidentes podem ocorrer de forma acidental, como o envio de informações para o destinatário incorreto, ou em decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Mas, nem todo incidente de segurança da informação envolve dados pessoais. Incidentes que envolvam somente dados anonimizados ou que não estejam relacionados a pessoas naturais identificáveis não precisam ser comunicados à ANPD.
Como os agentes devem proceder quando ocorrem incidentes de segurança com dados pessoais?
Assim como toda organização que segue as leis e realiza os procedimentos de forma correta quando ocorrem incidentes, é necessário ter um programa de Proteção de Dados ativo para mitigar riscos.
Sendo assim, os agentes devem realizar a avaliação interna do ocorrido, verificar qual a natureza, a categoria e a quantidade de dados que foram afetados.
Posteriormente, é preciso identificar as consequências concretas e prováveis do fato e se acarretam risco ou dano relevante aos titulares dos dados. Neste caso, é necessário comunicar à ANPD e ao titular de dados. Para finalizar, analise as medidas que deverão ser tomadas para fins de cumprimento de responsabilização e prestação de contas e de remediação.
Impactos de um vazamento de dados
Segundo uma pesquisa feita pela consultoria alemã Roland Berger, o Brasil está classificado como um dos países com maior índice de cibercrimes no mundo, sendo o segundo com maior perda financeira nesse tipo de ataque, atrás apenas da China.
O vazamento de dados é extremamente nocivo para as organizações e pode trazer consequências graves em diversas questões, além das financeiras.
Alguns dos principais impactos sobre esse tipo de vazamento são:
- perdas financeiras;
- vazamento de dados estratégicos;
- perda de confiança dos cliente
- danos à imagem da empresa;
- interrupções operacionais;
- implicações legais.
Benefícios em adequar-se à LGPD
Existem diversos benefícios ao se adequar à LGPD, o primeiro ponto que remete as organizações é evitar as penalidades previstas na Lei, mas a adequação vai além desse tópico, como podemos ver a seguir:
- uma das primeira etapas do processo de implementação é a conscientização dos colaboradores; esse método trará a todos da empresa a consciência sobre a responsabilidade no tratamento dos dados pessoais e sensíveis;
- capacitar os colaboradores a fim de identificar pontos de maior e menor risco também é um benefício. Treinar a equipe ajuda a conhecer os riscos e, consequentemente, a minimizar cada um deles;
- ter o controle de acesso protege os dados que são tratados pela a empresa. É de extrema importância que eles sejam entregues diretamente aos que irão tratá-los, ou seja, os dados devem ter acesso restrito, diminuindo a possibilidade de vazamentos ou utilização inadequada de alguma informação, sendo mais um ponto positivo em relação à adequação;
- a proteção dos dados pessoais e dados sensíveis é o ponto mais importante abordado pela LGPD, é o principal objetivo da adequação da empresa, mas para que todos os dados sejam realmente protegidos, é necessário garantir que os itens anteriores sejam observados e cumpridos.
É essencial ressaltar que a não conformidade à LGPD implica em diversas penalidades para a empresa, além do risco reputacional. Por esse motivo, ao adequar-se à Lei, você garantirá que a empresa esteja no caminho certo, prezando pela imagem da instituição e pela sustentabilidade no mercado.
Continue na sua jornada de capacitação profissional
Para aprender e entender outros conceitos relacionados ao vazamento de dados e Compliance, acesse o blog da LEC.
Para se capacitar e atuar no ramo com embasamento e certificação profissional, estude na LEC. Faça o Curso de Proteção de Dados e destaque-se no mercado.
