Notícias alarmantes sobre vazamento de dados pessoais, empresas multadas e violação de privacidade tem tomado conta das manchetes.

Seguem algumas:

• British Airways | Companhia aérea | 380 mil usuários | site de reservas e aplicativo invadidos por hackers.

• Orbitz | Buscador de passagens aéreas | 880 mil usuários | acesso indevido de dados bancários e pessoais.

• SingHealth | Rede de assistência médica do governo de Cingapura | 1,5 milhão de usuários | acesso indevido a dados pessoais e histórico de medicamentos.

• myPersonality | Aplicativo de rede social | 4 milhões de usuários | acesso indevido a dados pessoais de usuários do Facebook que utilizaram o myPersonality.

• Marriott Starwood | Hotéis | 500 milhões de usuários | acesso indevido a dados financeiros e pessoais de hóspedes.

Todas essas empresas sofreram incidentes de violação de dados.

Estes são somente alguns dos maiores casos, até essa data (acesse o link ao final deste artigo para conhecer mais), mas o fato é que não temos noção de quantas empresas são afetadas por incidentes de segurança ou de violação de dados todos os dias. Esse número é alarmante.

O curioso é que todo acidente ou incidente, inadvertidamente decorre de negligência, imprudência ou imperícia de um agente qualquer.

Vamos avaliar os conceitos dessas palavras sob a ótica da proteção de dados.

A Negligência implica que o responsável pelo tratamento deixa de fazer algo que sabidamente deveria ter feito, dando causa a uma violação de dados. Significa agir com descuido, desatenção ou indiferença, sem tomar as devidas precauções.

Um exemplo é o caso da empresa que não tem política de segurança ou de proteção de dados, ou não faz backup (e quando falo em fazer backup significa se certificar que ele esteja íntegro quando for necessário), ou não usa anti-vírus/anti-malware (nem gratuito), ou não tem firewall em sua rede sabendo que precisa ter, ou não sabe quem tem acessos aos seus sistemas, ou não tem seus tratamentos de dados com os fluxos mapeados, e/ou uma série de outras boas práticas de segurança que não são executadas. Sabem o risco de violação de dados, mas nada fazem.

A Imprudência, por outro lado, pressupõe uma ação que foi feita de forma precipitada e sem cautela. O responsável pelo tratamento toma uma atitude a respeito do assunto sem a cautela e zelo necessário que se esperava. Significa que sabe fazer a ação da forma correta, mas não toma o devido cuidado para que isso aconteça.

O exemplo disso é aquela empresa que, para evitar coimas e não necessariamente proteger os dados dos titulares, contrata um profissional para implantação (geralmente um advogado, afinal o regulamento é uma lei) ou manda um colaborador para uma formação de RGPD (existem várias) para que ele mesmo aprenda faça a implantação interna. O resultado disso é uma empresa que tem política de privacidade, fluxo de dados mapeado, talvez algumas políticas de segurança, mas que na prática não protegem realmente os dados dos titulares pelos quais é responsável.

Por ser feito dessa forma, essas empresas ficam à mercê de terem o dados pessoais se tornarem indisponíveis, sem integridade ou não confiáveis, por falhas na gestão ou por algum incidente de segurança de origem interna ou externa. Essas organizações são como sepulcros caiados, lindos por fora, mas por dentro, nem tanto.

Já a Imperícia consiste em não saber praticar o ato. Ser imperito na proteção de dados é realizá-la sem ter o conhecimento técnico, teórico ou prático necessário para isso.

Um exemplo é aquela organização que não contrata nenhum profissional especializado e não envia um colaborador para formação específica, mas “inventa” meios próprios de dizer que está em conformidade com o RGPD. É aquela empresa que reconhece que precisa de fazer alguma coisa, mas que não precisa investir nisso, que faz tudo do seu próprio jeitinho sem o profissionalismo exigido.

Na negligência a atitude é omissiva, pois deixa-se de fazer algo que seguramente deveria fazer, enquanto que na imprudência faz sem o cuidado devido e na imperícia, faz sem ter a habilidade necessária.

No mercado de Portugal e também no Brasil, há muitas empresas que agem em relação à proteção de dados com esses tipos de atitudes: negligentes, imprudentes e imperitas. Estão fadadas a prejuízos de imagem, financeiros e até de existência futura, pois basta um simples incidente para destruir uma organização completamente.

“não é questão de SE, mas de QUANDO as empresas sofrerão violação de dados”

O RGPD, apesar de severo, veio para ajudar as empresas. Ele não é somente lei ou somente segurança informática ou somente gestão. É um misto disso tudo sumariamente organizados nos vários artigos que o compõe e que de certa forma obriga as empresas a se auto-regularem nessa matéria.

Para estarem aderentes, as organizações tem de dizer o que fazem para proteger os dados, proteger de verdade e de forma indubitável e se algum incidente acontecer deve informar a autoridade de controlo e tomar medidas para correção.

Uma implementação de RGPD bem feita deve deixar a organização realmente condizente com a proteção de dados: “privacy by default“, ou privacidade por padrão, que começa na segurança do ambiente informático, passa pela formação de pessoas, pela monitorização contínua e na gestão eficaz de incidentes. É um ciclo sem fim e uma mudança de cultura para as empresas.

Isso significa que qualquer dado pessoal, sistema, ativo, processo ou documento esteja salvaguardado e protegido de verdade e não apenas na aparência.

Uma atitude organizacional inteligente em relação à proteção de dados é deixar de ser negligente ou imprudente e ao mesmo tempo, envolver profissionais especializados para auxiliar a empresa nesse assunto tão importante e também complexo.

“proteger dados é proteger pessoas, afinal, no mundo digital, as pessoas são seus próprios dados”

Fontes: https://epocanegocios.globo.com/Empresa/noticia/2018/12/os-21-maiores-casos-de-violacao-de-dados-de-2018.html