Blog BigDataCorp | Bem-vindo à nova era dos dadosProteger as informações dos clientes é uma preocupação que tem crescido cada vez mais entre empresas, principalmente após a chegada da LGPD e a transição para uma economia cada vez mais dependente dos dados. Por isso o assunto tem sido tão recorrente em nosso blog e em diversos outros veículos, pois, enquanto houver riscos, precisamos estar atentos e trabalhar para minimizá-los ao máximo.
Relatórios emitidos por diversas empresas especializadas mostram que, em 2021, mais de 2,8 bilhões de dados sensíveis ficaram expostos no país, o que manteve o Brasil no topo do ranking mundial de vazamentos de dados. Só no primeiro trimestre deste ano, 286 mil brasileiros ficaram expostos através de suas informações na internet.
A tendência é que o número de tentativas de ataques cibernéticos continue a subir. Por isso, a única saída é melhorar a segurança das informações e estar pronto para agir caso um vazamento ocorra. Confira abaixo alguns cuidados que as empresas precisam ter ao lidar com os dados de seus clientes.
5 passos para manter a privacidade dos clientes
Mapear quais são os dados que a empresa tem das pessoas
Muitas empresas ainda acreditam no mito de que todas as informações são fundamentais para as empresas, pelo fato de que podem ser utilizadas na construção de modelos e no desenvolvimento de inteligências artificiais para otimizar os negócios. Neste sentido, elas coletam toda e qualquer informação que estiver à vista, sem nem mesmo ter ideia de quais dados estão sendo coletados e armazenados. A maior parte das empresas guarda muito mais informações do que precisa, principalmente sobre os seus clientes.
Para evitar problemas, a primeira coisa que essas empresas precisam fazer é realizar um bom mapeamento e a identificação de quais dados estão sendo coletados e de onde eles estão vindo. A segunda é se livrar de todas as informações que não são úteis para a sua empresa, mantendo o mínimo necessário. Dessa forma, é possível minimizar a atratividade dos seus dados para roubos e o impacto negativo de qualquer vazamento que venha a acontecer. Isso sem falar nos altos custos de armazenamento de dados. Como já dissemos inúmeras outras vezes, menos é sempre mais.
Garantir a segurança das informações
Após o mapeamento sugerido no item anterior, o próximo passo é garantir que sua empresa esteja efetivamente protegendo as informações das pessoas, que os dados estejam criptografados e que sua empresa não esteja guardando nenhuma informação de forma aberta ou qualquer coisa do tipo.
Tanto a LGPD no Brasil quanto outras legislações de proteção de dados internacionais, como a GDPR na União Europeia, têm artigos específicos que obrigam as empresas a despenderem dos melhores esforços e das últimas tecnologias para a proteção de seus dados, sob a pena de multas e sanções. A prevenção de incidentes de segurança, portanto, é uma obrigação legal de todas as empresas.
Também é importante treinar os funcionários para que não cometam ações que possam pôr em risco a segurança dos dados dos seus clientes. Por isso, é preciso estar sempre monitorando, uma vez que grande parte dos vazamentos de dados são orquestrados por pessoas de dentro da empresa, umas vezes acidentalmente; outras, propositalmente.
Segregar o acesso
O passo seguinte é promover uma ‘segregação de acesso’, o que significa dar acesso somente àquelas pessoas que realmente precisam, especialmente quando se trata de informações que não são públicas e que estão associadas a uma pessoa. Possuir mais acessos do que a função determina para desempenhar suas atividades pode causar práticas inconsistentes e indevidas. E isto é mais comum nas empresas do que se imagina.
Os prejuízos causados por essa má gestão de usuários são imensuráveis, já que, em muitas das vezes, demora-se a perceber ou identificar as operações fraudulentas ou indevidas, que podem ir de vazamento de informações e perdas financeiras a roubo de dados estratégicos e sequestro de dados, dentre tantos outros casos. Além dos prejuízos às operações, podem causar prejuízos irreversíveis à imagem da empresa.
Para realizar a segregação dos acessos, é importante conhecer muito bem a empresa, os processos e identificar onde estão todos os pontos de controle em cada uma das etapas da operação. Dessa forma, será possível identificar a estrutura ideal, necessária e possível para que as atividades possam ser executadas de forma adequada e fluente. O passo seguinte é mapear todos os riscos possíveis e conhecidos do negócio, estabelecendo as regras de atividades conflitantes e impactos operacionais.
Garantir o consentimento do cliente
Um ponto que nunca deve ser esquecido é garantir que sua empresa tenha o consentimento do usuário sobre todas as informações armazenadas que dizem respeito a esse usuário. Para isso, é importante informar ao cliente quais são essas informações e deixar explícito que sua empresa segue todos os preceitos legais de consentimento.
A própria LGPD imputa às empresas a responsabilidade de proteger os dados pessoais de seus usuários e a obrigação de prestar contas de forma transparente sobre boas práticas e governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos do tratamento dos dados pessoais. Leia também o nosso artigo sobre Accountability.
Conhecer a legislação local
Empresas que atuam no Brasil sabem que estão sujeitas à legislação local, como o Marco Civil da Internet, a LGPD e a Constituição Federal. Contudo, em caso de atuação em outros países, é necessário ter um conhecimento profundo sobre todas as regras de privacidade do lugar, já que cada país terá uma regra diferente.
Na União Europeia, o GDPR alcançou reconhecimento internacional, não apenas porque contém disposições extensivas relacionadas à proteção de dados pessoais e privacidade, mas também por causa de sua aplicação extraterritorial. Não apenas empresas localizadas na UE estão sujeitas à atuação do GDPR, no que se refere ao processamento de dados pessoais, mas também empresas localizadas em outros países que lidam com informações pessoais de cidadãos europeus. Autoridades da UE têm o poder de realizar investigações de conformidade em quaisquer empresas do mundo que estejam coletando dados de seus cidadãos.
Outros países caminham para legislações semelhantes. Este é o caminho. Por isso, antes de realizar qualquer operação que envolva dados de cidadãos de outros países, procure conhecer a legislação local, o que pode ser feito através da contratação de consultorias específicas.