Panorama de Negócios
ARTIGO DE MARCELO BUZ
Em setembro de 2024, a Lei Geral de Proteção de Dados (LGPD) celebrará quatro anos de vigência, hoje, uma das principais diretrizes para as empresas que, agora, além de investirem na proteção dos seus negócios contra invasões ou ataques digitais, precisam controlar a privacidade e o uso de dados pessoais de seus clientes e fornecedores.
Do ano de criação da Lei até hoje, os negócios e instituições amadureceram o entendimento de que a segurança digital é crucial para evitar vazamento de dados e eassim não sofrerem as severas multas que vem aplicadas.
Aos 4 anos de idade, os grandes eventos ocasionadores de multas são os vazamentos de dados. Dados que por descuido, negligência ou desconhecimento deve ser visto como elementar para se estar com soluções Privacy By Default.Parece que as empresas que se dizem adeptas à LGPD não estão praticando o que há de mais elementar e moderno: a anonimização ou pseudoanonimização de dados. A Autoridade Nacional de Proteção de Dados (ANDP) publicou, em março de 2023, os processos administrativos que envolvem negligência com a LGPD. A lista conta com o nome de órgãos públicos e empresas privadas, e entre os motivos estão a ausência de anonimização ou uso de criptografia no tratamento de dados.
O tratamento de dados que garantem a segurança
Há dois tipos de Anonimizações: a irreversível, e a pseudoanonimização.Na prática, para as empresas manipularem certos dados que as quais não são o titular, precisam realizar a anonimização irreversível, a ponto de serem considerados verdadeiramente “anônimos”, ou seja, impossível de algum dia voltar a identificar o verdadeiro titular.. No entanto, a “pseudoanonimização”, que consistem em decodificar os dados do titular de maneira que, caso seja necessário, essas informações possam ser codificadas e utilizadas outra vez. Nesta modalidade são usados técnicas de criptografia que precisam preservar a chave criptográfica para futuro revertimento da informação.
Nos casos de adoção da Pseudoanonimização, para um incidente de vazamento de dados oferecer riscos para os titulares é remota, pois, mesmo que todos os dados sejam vazados, a anonimização impossibilita que eles sejam vinculados a um titular, tornando o vazamento inóquo do ponto de vista de quebrar o sigilo da informação. Porém a pseudoanonimização requer cuidados e boas práticas criptográficas, Na Anonimização Irreversível as chaves criptográficas podem ser jogadas fora, diferente da pseudanonimização, que justamente precisa da chave criptográfica para descriptografar. Gerar, custodiar, gerenciar e usar chaves criptográficas, a criptografia, é uma ciência.
Guarda segura é a bola da vez em 2024
Falamos aqui nos processos de guarda segura das informações, mas não falamos o que está por trás de toda essa proteção: a criptografia,modelo matemático capaz de embaralhar as informações de modo que apenas as partes que tenham uma “chave” possam ser decifrado e/ou acessado. Mas, e essa “chave” que blinda as informações onde deve ser guardada?
E é aí que entram as soluções de segurança digital que hoje têm mais do que um papel necessário, são essenciais. Tecnologia, como o Hardware Security Module (HSM) – certificada pelo governo americano – Federal Information Processing Standard (FIPS) e usado pelo Banco Central brasileiro – está entre as mais indicadas do mercado nacional, pois é capaz de prover a segurança,dupla custódia das chaves e garantir o desempenho e conformidade em relação à LGPD, com as normas de segurança em todos os segmentos da empresa ou corporação.
Mas por que tanto preocupação com a segurança ainda nos dia de hoje?
Quanto mais a conectividade e o mundo virtual se expandem, mais as empresas precisam estar preparadas para o cenário de possíveis novos ataques cibernéticos e cada vez mais sofisticados. No Brasil, somente nos primeiros seis meses de 2023, o país sofreu 23 bilhões de ciberataques, segundo dados da empresa de segurança Fortinet.
A situação é crítica e a preocupação dos governos e órgão reguladores só aumenta, por isso, acredita-se que 2024 promete ser um ano de maior fiscalização para que os impactos com os ciberataques sejam – de uma vez por todas – mitigados ao máximo. Prova disso é a recente ampliação do quadro de funcionários da Autoridade Nacional de Proteção de dados (ANPD) – que de 50 foi para 121 profissionais, o que demonstra que terão mais “olhos” analisando as mais de 18 milhões de empresas ativas no Brasil, segundo os últimos dados do Ministério da Economia.
Em vista disso, vamos aproveitar os ensinamentos das experiência que já se tem ao longo destes 4 anos.Os investimentos previstos em Segurança da Informação e adequação a LGPD para este ano deve pensar em como a instituição pode estar ainda adequada às exigências atuais, mas mais do que isto, adotar métodos de anonimização e pseudoanonimização capazes de anular qualquer possibilidade de que um vazamento de dados possa representar um dano grave aos Direitos dos Titulares.
É muito importante entender este conceito de que anonimizar é desvincular as informações de uma pessoa, sendo juridicamente uma solução capaz de isentar multas que tem sido até milionárias.
Marcelo Buz é diretor de negócios e responsável pela área de Identidade e Assinatura Digital, na DINAMO Networks, e ex-presidente do Instituto Nacional de Tecnologia do Brasil (ITI).
