GDPR e LGPD: as lições aprendidas e dos desafios do dia seguinte
Estudo da IDC sobre primeiro ano de vigência da legislação europeia antecipa os pontos de atenção nos modelos de mapeamento de riscos, execução das políticas e impacto no negócio.
Nos primeiros oito meses de vigência do GDPR (regulamento geral de proteção de dados), foram registradas 59 mil notificações de quebra de privacidade, que vão de erros no envio de e-mail a vazamentos massivos. Mesmo nas organizações que se preparam para apresentar o “suficiente” em termos de compliance e passar por uma auditoria, a realidade após a implementação inicial aponta que a agenda está longe de se esgotar. O estudo It’s only just begun – GDPR one year on, promovido pela Forcepoint e executado pela IDC, destaca os desafios enfrentados pelas organizações na União Europeia, com algumas lições que servem a advogados, controladores de dados, gestores de cibersegurança e à própria direção estratégica das companhias que terão que navegar por uma economia de dados regulada.
Riscos vão além das multas; não adianta provisionar
Confrontar o risco da multa (de até 2% do faturamento, conforme a LGPD) aos custos de mitigação e até mesmo aos “resultados” obtidos com práticas irregulares é uma conta que já começa com premissas lamentáveis, tanto do ponto de vista ético quanto prático. Contudo, a multa não é o único instrumento do regulador, que pode aplicar penalidades mais pesadas, principalmente se considerar que o ônus financeiro não é proporcional aos danos causados.
Os analistas da IDC mencionam o caso da canadense AIQ, obrigada pela autoridade britânica (ICO) a desabilitar sua base de dados, por suspeita de envolvimento em supostas fraudes eleitorais.
Big data, do exagero ao pânico – cuidado na hora de se livrar da tralha
A tecnologia para ingerir, armazenar e processar dados ficou tão acessível e barata nos últimos anos, que criou uma geração de “acumuladores”; organizações que coletam todos os dados possíveis para depois ver o que fazer com eles. As regulações de privacidade transformam esse “ativo” em risco. Em contrapartida, os analistas constatam que se perdem informações desnecessariamente, o que pode ser resolvido com técnicas bem conhecidas de tratamento dos dados.
É fato que reduzir o escopo da proteção de dados deve ser o primeiro passo, até para evitar acrescentar gastos e complexidade com o que não é tão relevante ao negócio. Contudo, é interessante ver as oportunidades de uso de dados anonimizados, pseudonimizados ou tokenizados, para preservar o valor estatístico das informações, sem riscos à privacidade.
Monitoramento, orquestração e automação – um desenvolvimento constante
Com as legislações de proteção de dados, a segurança da informação deixa de ser vista como uma disciplina técnica e passa a permear as prioridades das áreas de negócios. Do ponto de vista de TI, uma tarefa inicial é instrumentalizar esses usuários para localizar, classificar e definir as políticas para os dados sob seu controle. Contudo, deixadas por sua própria conta, as políticas e controles tendem a se degradar, principalmente quando atritam com as metas de negócio – entre uma concessão à inconformidade e o risco de perder uma venda, a recompensa fala mais alto que o perigo.
Segundo os analistas da IDC, as organizações mais avançadas hoje buscam plataformas mais integradas e automatizadas para tornar as políticas de compliance viáveis e perenes.
Proteção de dados como valor corporativo
“O relatório de risco digital será padrão no conjunto de informações financeiras das companhias a partir de 2022”, afirmam os analistas da IDC. As políticas de cibersegurança, condutas de proteção à privacidade e transparência já merecem seções nos Relatórios de Sustentabilidade das companhias com maior visibilidade no mercado.
Sofrer ataques não é desculpa
“Hacking é errado, mas isso não exime as companhias de cumprir suas obrigações de segurança”, afirma a sentença do regulador inglês, em uma penalização à Talktalk pelo vazamento de cadastros de clientes.
Evidentemente, os legisladores, a exemplo de algumas regulações setoriais, tiveram o cuidado de prever atenuantes para casos específicos. Por exemplo, o artigo 5º da LGPD, que trata da anonimização de dados, diz que se deve garantir que a informação original não possa ser revertida com os “meios técnicos razoáveis”. Ou seja, ninguém vai punir uma organização cujas chaves tenham sido quebradas em um experimento de computação quântica. No entanto, deixar brechas para ataques previsíveis ou violações com kits disponíveis na darkweb torna o controlador co-responsável por qualquer dano aos titulares dos dados.
A visão de vulnerabilidades, o mapeamento de riscos e a antecipação às ameaças passam pela atualização da cibersegurança, mas também pelos aspectos relacionados a comunicação, treinamentos e condutas. Assim como ocorre com as melhores práticas de Qualidade, as auditorias tendem a atribuir cada vez mais peso ao Fator Humano nas questões de segurança, conformidade e ética.
Para quem lê em inglês e tem interesse pelas considerações da IDC, é interessante ver o paper It’s only just begun – GDPR one year on.
Veja também o artigo Cyber crime victimhood is not a defense against GDPR failure, de Duncan Brown, estrategista de segurança da Forcepoint para o mercado europeu.