A revolução digital no sistema financeiro brasileiro ganhou um novo capítulo com o lançamento do Drex, a moeda digital oficial do Banco Central do Brasil. Também conhecido como Real Digital, o Drex promete modernizar as transações financeiras, ampliar a inclusão bancária e oferecer novas oportunidades para indivíduos e empresas. Confira a seguir os principais aspectos do Drex, suas funcionalidades e os desafios envolvidos em sua implementação.

O que é o Drex?

O Drex é a versão digital da moeda brasileira, desenvolvido pelo Banco Central como parte de sua estratégia de inovação no mercado financeiro. Diferentemente das criptomoedas descentralizadas, como o Bitcoin, o Drex é emitido e regulamentado por uma instituição estatal, garantindo estabilidade e segurança. Sua base tecnológica utiliza a blockchain, uma tecnologia que registra transações de forma transparente e imutável.

O principal objetivo do Drex é aprimorar os sistemas de pagamento, reduzindo custos, aumentando a velocidade das transações e promovendo a inclusão financeira. Ele foi projetado para integrar-se com plataformas existentes, como o Pix, e permitir o desenvolvimento de soluções financeiras inovadoras.

Como o Drex impacta o dia a dia das pessoas e das empresas?

A introdução do Drex trará mudanças significativas na forma como consumidores e empresas lidam com pagamentos e transações financeiras. Algumas das principais novidades incluem:

1. Transações mais rápidas e baratas: assim como o Pix, o Drex oferece alta velocidade para pagamentos e transferências, mas com um nível mais avançado de segurança e integração com contratos inteligentes.
2. Inclusão financeira: a nova moeda digital tem o potencial de levar serviços financeiros a regiões e populações desassistidas, facilitando o acesso ao sistema bancário.
3. Facilidade em contratos inteligentes: o Drex possibilitará a automação de processos financeiros por meio de contratos inteligentes, que executam automaticamente termos e condições previamente definidos.
4. Segurança aprimorada: com o uso de tecnologia blockchain e protocolos de criptografia avançados, o Drex oferece um ambiente mais seguro para transações digitais.

Oportunidades e desafios para as empresas

Apesar dos benefícios potenciais, a adoção do Drex também traz desafios significativos, especialmente para as empresas brasileiras. Abaixo estão alguns pontos de atenção:

Adaptação tecnológica

A transição para um sistema financeiro digital exige atualizações nos sistemas de gestão financeira e de pagamentos. As empresas precisarão investir em infraestrutura tecnológica, capacitação de equipes e adoção de novas soluções baseadas em blockchain.

Cibersegurança

A complexidade do Drex aumenta a vulnerabilidade a ciberataques e vazamentos de informações. Para mitigar esses riscos, é fundamental implementar medidas de segurança robustas, como protocolos de criptografia avançados e conformidade com a Lei Geral de Proteção de Dados (LGPD).

Impacto no fluxo de caixa

A alta velocidade das transações com o Drex pode afetar o fluxo de caixa das empresas. Para evitar problemas financeiros, será necessário otimizar a gestão de recebimentos e pagamentos e adotar sistemas de previsão financeira.

Custo de implementação

Embora o Drex represente um avanço, sua integração não será simples. Por isso, atualização de sistemas, treinamentos e contratação de especialistas em tecnologia e compliance são investimentos indispensáveis.

Drex vs. Pix: quais as diferenças?

O Drex compartilha algumas semelhanças com o Pix, como a rapidez e a acessibilidade, mas possui características únicas. Enquanto o Pix foi projetado para transferências imediatas e de baixo custo, o Drex adiciona um nível de complexidade com sua integração a contratos inteligentes e a possibilidade de uso em soluções mais elaboradas, como tokenização de ativos.

No entanto, a implementação do Pix mostrou que mesmo sistemas aparentemente simples podem enfrentar resistências iniciais. A adoção do Drex, que exige maior compreensão tecnológica, será um desafio ainda maior para muitos setores.

Como se preparar para o Drex?

É indispensável entender o que vem pela frente para se preparar. Ou seja, empresas e indivíduos podem tomar medidas proativas para se preparar para a chega do Drex. Por exemplo:

1. Educação financeira: Buscar informações sobre como o Drex funcionará e como integrá-lo às operações do dia a dia.
2. Investimentos em tecnologia: Atualizar sistemas de gestão financeira e contratar profissionais especializados em blockchain e segurança cibernética.
3. Planejamento financeiro: Adaptar processos contábeis e de fluxo de caixa para acomodar as características do Drex.
4. Acompanhamento regulatório: Monitorar mudanças nas normas e regulações para garantir a conformidade.

O Drex representa um passo importante na digitalização do sistema financeiro brasileiro, oferecendo benefícios significativos em termos de inclusão, eficiência e inovação. No entanto, sua implementação exige planejamento cuidadoso, investimentos em tecnologia e capacitação.

Empresas que se anteciparem e investirem na adoção do Drex estarão em melhor posição para aproveitar as oportunidades que a nova moeda digital oferece. Por outro lado, a falta de preparação pode levar a perdas de competitividade e dificuldades operacionais.

Acompanhar as atualizações sobre o Drex e buscar apoio de especialistas são passos cruciais para garantir uma transição tranquila e bem-sucedida para este novo paradigma financeiro.

Tem dúvidas sobre o Drex? Fale conosco!

Conheça as prioridades e perspectivas apontadas por CFOs e líderes financeiros de todo o mundo para o próximo ano.

Os resultados da pesquisa Global Finance Trends 2024 revelam um momento de transformação para os CFOs, cujas responsabilidades continuam a se expandir. As descobertas destacam um cenário de crescente importância da tecnologia e da automação, surgindo para apoiar o crescimento e o sucesso da organização. Equipes financeiras estão colaborando cada vez mais com outras áreas de negócio para enfrentar questões como cibersegurança, planejamento estratégico, otimização de custos e iniciativas de sustentabilidade.

A pesquisa, com mais de 950 líderes financeiros ao redor do mundo, mostra que CFOs estão priorizando a segurança de dados, o planejamento financeiro e o planejamento estratégico, avançando no uso de ferramentas de GenAI, e continuam a liderar o caminho em divulgações e relatórios ESG.

A ANPD publicou no dia 17/07/2024 a Resolução CD/ANPD n°18 que dispõe sobre a atuação do encarregado sobre o tratamento de dados pessoais.

Confira os principais pontos da resolução:

Da indicação do Encarregado

Forma da indicação: ato formal, ou seja, documento escrito, datado e assinado, demonstrando a indicação.

Agente de pequeno porte: nos casos em que tenha dispensa de nomeação do Encarregado, este deve possuir canal de comunicação disponibilizado ao titular de dados.

Operadores: a indicação de encarregado por operadores é facultativa, mas será considerada política de boas práticas.

Nas ausências, impedimentos e vacâncias do encarregado, a função será exercida por substituto formalmente designado.

Da Identidade e das informações de contato

A identidade e as informações de contato do encarregado deverão se públicas, de forma clara e objetiva, em local de fácil acesso no sítio eletrônico do agente de tratamento (caso não tenha sítio eletrônico, a informação de identidade e contato deve ser divulgada em qualquer meio de comunicação disponível, especialmente os utilizados como contato com os titulares). A divulgação da identidade deve seguir o seguinte padrão:

• Pessoa natural: nome completo.
• Pessoa jurídica: nome empresarial ou título do estabelecimento e nome completo da pessoa natural responsável.

Além da identidade, deve-se disponibilizar as informações de contato que viabilize no mínimo o exercício de direitos dos titulares.

Dos deveres dos agentes de tratamento

• Prover meios para as atribuições do encarregado.
• Solicitar assistência e orientação do encarregado na realização de atividades e tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais.
• Garantir autonomia técnica ao encarregado.
• Assegurar aos titulares meios eficazes e céleres para a comunicação com o encarregado e exercício de direitos.
• Garantir ao encarregado o acesso direto a pessoas com nível hierárquico maior e responsáveis por decisões estratégicas relacionadas a tratamento de dados pessoais.

Do encarregado

Das características

• Pode ser pessoa natural ou jurídica.
• Deve ser capaz de comunicar-se com os titulares e ANPD em língua portuguesa.
• O exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou formação profissional específica.

Das atividades e atribuições

Destacamos as seguintes:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências cabíveis.
• Receber comunicações da ANPD e adotar providências.
• Fornecer orientação e assistência ao agente de tratamento, incluindo os casos de registro e comunicação de incidente, registro das operações de tratamento de dados pessoais, relatório de impacto, regras e boas práticas em governança de privacidade, processos e políticas internas, dentre outros.
• indicar o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando não for exercido pelo próprio encarregado.

O desempenho das atividades e das atribuições acima não confere ao encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Do conflito de interesse

O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesse.

Como pode se configurar o conflito de interesse?

• entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos.
• acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado.

Se constatado o conflito de interesse no caso concreto, poderá resultar em aplicação de sanção. Assim, o encarregado deve declarar ao agente de tratamento qualquer situação que possa configurar conflito de interesse.

Saiba mais em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aprova-norma-sobre-a-atuacao-do-encarregado-pelo-tratamento-de-dados-pessoais

A Lei de Serviços Digitais (DSA, na sigla em inglês) entrou em vigor na União Europeia em novembro de 2022, com o objetivo de regular o conteúdo online e tornar as big techs mais responsáveis pelo que é publicado nas plataformas. 

A lei obriga que empresas como Meta (Facebook/Instagram), X (antigo Twitter) e Google removam rapidamente conteúdos ilegais em suas plataformas, sob risco de multas que podem chegar a 6% do faturamento global. Além disso, o regulamento busca combater a disseminação de desinformação e conteúdo prejudicial. 

Esse novo marco regulatório já começou a ser testado com o recente conflito entre Israel e Palestina. Diante do aumento de publicações antissemitas sobre a guerra, o comissário europeu Thierry Breton solicitou que as big techs removessem determinados conteúdos rapidamente, utilizando a DSA como argumento legal. 

Nesse contexto, as empresas teriam que agir de forma mais rápida contra a proliferação de conteúdos impróprios a fim de evitar possíveis multas milionárias. Exemplos recentes dessa iniciativa incluem o Facebook remover posts contendo discursos de ódio contra israelenses e o TikTok banir hashtags que promoviam informações falsas sobre o conflito na Faixa de Gaza. 

Diante desses fatos, é seguro afirmar que a DSA pode exercer pressão sobre as empresas de tecnologia, forçando-as a moderar conteúdos danosos de maneira mais proativa e poupar a disseminação de violência, fake news, entre outros incidentes. Por outro lado, essa mudança também levanta determinadas preocupações sobre um potencial processo de censura e uma certa limitação da liberdade de expressão entre os usuários e os criadores de conteúdo. 

Segundo levantamento da Poynter Institute, escola de jornalismo e organização de pesquisas americana, com apoio do Google, quatro em cada 10 pessoas afirmaram receber notícias falsas todos os dias no Brasil. Ainda conforme o estudo, o número é ainda mais expressivo quando se trata de brasileiros que receiam receber conteúdo de fake news ou que seus parentes sejam alvos, somando 65% do índice da pesquisa. 

Diante disso, assim como a GDPR (Regulamento Geral sobre a Proteção de Dados), implementada na Europa em 2018 e replicada no Brasil em 2020 por meio da Lei Geral de Proteção de Dados, a DSA também tende a servir de modelo para regulações semelhantes ao redor do mundo.  

Convém assinalar que tramita no Congresso Nacional o Projeto de Lei 2630/2020, conhecido como ‘Lei das Fake News’, que busca combater a desinformação online. Embora haja debates polêmicos em torno da aprovação desta lei, tudo indica que existe uma tendência de aumento da pressão regulatória sobre plataformas digitais também no país. 

Nas eleições 2018, por exemplo, proliferaram pelas redes sociais brasileiras diversos conteúdos falsos contra diferentes candidatos, que geraram forte engajamento entre os eleitores. Este fato motivou o Tribunal Superior Eleitoral (TSE) a criar uma coordenação exclusiva dedicada ao combate à desinformação na internet durante o pleito de 2022.  

Com isso, a aplicação de uma lei nos mesmos moldes da DSA europeia, poderia trazer avanços na moderação de conteúdo ilegal e discurso de ódio online no país. Em contrapartida, um dos principais desafios é garantir que a regulação não represente censura ou limitação excessiva da liberdade de expressão. Ou seja, o diálogo sobre o tema deve ser levantado em todas as frentes para que um comum acordo seja implementado para a regulamentação das big techs no país. 

No geral, a Lei de Serviços Digitais tem potencial para mitigar problemas sérios como disseminação de ódio e desinformação online. No entanto, implementar no Brasil uma regulação com tal alcance, não é tarefa trivial. A implementação da lei em território brasileiro exigiria adaptações cuidadosas à realidade nacional e mecanismos eficazes para prevenir abusos e censura. 

*Aline Noleto é consultora pleno de Data Regulation da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados. 

A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 2018, e o Marco Legal da IA (Inteligência Artificial), ainda em discussão no Congresso, trazem novos desafios para o uso de técnicas de enriquecimento de dados, que consiste em agregar informações externas a um banco de dados, a fim de torná-lo mais completo e eficaz para análises, aprimorando a tomada de decisões nas companhias.

Esse processo de aprimoramento de informações pode abranger, por exemplo, as preferências do cliente, o histórico de compras e os dados demográficos e de geolocalização. No entanto, o enriquecimento de dados pode entrar em conflito com princípios de privacidade e proteção de dados pessoais.

Um dos pilares da LGPD é a garantia de transparência aos indivíduos sobre como seus dados pessoais são tratados. Ou seja, a Lei possui como objetivo proporcionar às pessoas maior controle sobre seus próprios dados pessoais. Logo, no contexto de enriquecimento de dados pessoais, é preocupante que informações adicionais sejam incorporadas sem uma autorização explícita do titular de dados.

Além disso, nem sempre é possível rastrear a origem desses novos dados agregados. Nesse sentido, o consentimento do titular configura como forma mais transparente e direta para o enriquecimento de seus dados, permitindo-lhe concordar com o processo ou recusá-lo.

Outro princípio fundamental da legislação consiste na finalidade. Isso quer dizer que os dados só podem ser usados para propósitos específicos e legítimos. Desta forma, as informações sobre a finalidade do enriquecimento e quais dados serão enriquecidos devem ser claras, garantindo-se transparência ao titular sobre como suas informações estão sendo utilizados. O enriquecimento, no entanto, não pode abrir espaço para o uso de dados pessoais para finalidades não previamente informadas ao titular, e, caso este recuse o enriquecimento de seus dados, sua decisão deve ser respeitada.

Veja também: Por que o Marco Legal da IA é importante?

O Marco Legal da IA também traz parâmetros para uso ético e responsável de dados e estabelece, por exemplo, que sistemas de IA devem ser guiados por fundamentos e princípios como transparência, não discriminação e responsabilização dos desenvolvedores e usuários de IA. O enriquecimento de dados, por vezes, contradiz esses princípios por envolver combinação de bancos de dados nem sempre auditáveis e potencialmente enviesados. Isso implica que as organizações que empregam Inteligência Artificial para aprimorar seus conjuntos de dados devem garantir que seus algoritmos sejam justos, não discriminatórios e que expliquem claramente como as informações são enriquecidas.

É importante destacar que o Marco Legal da IA prevê, como direito das pessoas afetadas por sistemas de IA, a privacidade e a proteção de dados pessoais, assim como o direito à informação prévia quanto às interações com sistemas de IA. Em paralelo aos benefícios relacionados à melhoria da qualidade dos dados, trazidos pela utilização de IA no processo de enriquecimento de dados, o Marco Regulatório da IA traz riscos relacionados a não demonstração de conformidade, o que evidencia a necessidade das empresas de investir em expertise em IA.

Diante desses desafios, fica evidente que o enriquecimento de dados requer uma abordagem cautelosa e responsável, dentro dos limites éticos e legais estabelecidos pela LGPD e pelo Marco Legal da IA. Isso inclui transparência sobre a origem dos dados agregados, consentimento dos titulares quando possível, uso responsável visando o bem comum e mecanismos de governança para avaliar e mitigar riscos à privacidade. Encontrar o equilíbrio entre inovação e proteção de direitos será fundamental nesse novo contexto.

*Aline Noleto e Patrícia Domingues são consultoras de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

A implementação da LGPD nas empresas pode trazer desafios – entenda como a conscientização pode ajudar.

Quando o assunto é segurança da informação, é comum pensar em algumas ferramentas para proteção do ambiente, como Firewall, antivírus e EDR (Endpoint detection and response), também conhecida como detecção e resposta a ameaças, entre outras soluções. No entanto, antes que todos esses recursos e tecnologias sejam colocados em prática, é importante lembrar que o elo mais fraco dessa corrente sempre será o usuário.  

De acordo com o relatório de Spam e Phishing da Kaspersky, empresa especializada em segurança à internet, o Brasil é o país com maior quantidade de ataques do tipo phishing provenientes do Whatsapp, com mais de 76 mil tentativas de fraudes em 2022.  

Diante ao fato, é fácil chegar à conclusão que a maioria das pessoas não pensam em segurança da informação no dia a dia fora da empresa, ou seja, não colocam duplo fator de autenticação nas redes sociais ou usam como senha a data de aniversário. Esse tipo de condução nas frentes de segurança acaba tornando os usuários alvos fáceis para ameaças mais comuns como o malware, o phishing e a engenharia social.  

Levando em consideração essa vulnerabilidade, as empresas precisam pensar em um plano de conscientização das pessoas em relação à segurança da informação não somente dentro da empresa, mas fora dela também. Essa é uma forma de tornar movimento automático para as pessoas, e não somente uma obrigação. 

Tais desinformações e a falta de treinamento, por sua vez, podem acarretar vazamentos de dados sensíveis, seja por ataque hacker ou mesmo pela inocência da pessoa em deixar seus dados ou da empresa de forma pública e em locais inadequados. Essa falta de informação também pode infringir a Lei Geral de Proteção de Dados (LGPD) devido a não proteção à privacidade e aos direitos dos indivíduos em relação aos dados pessoais, garantindo menor controle sobre como as informações são utilizadas. 

Mas para criar um processo de conscientização na implementação da LGPD com segurança, é preciso incluir programas de treinamento regular, simulações de phishing, conscientização para departamentos específicos, políticas e procedimentos e boletins de segurança. Essas são frentes que atuam como instrumentos fundamentais para a salvaguarda dos dados pessoais, desempenhando um papel fundamental na aplicação da LGPD.  

Desse modo, os treinamentos e a conscientização em segurança conferem às organizações a capacidade de moldar uma cultura corporativa que reconhece a importância da privacidade e a responsabilidade coletiva na proteção dos dados, uma vez que, em meio a um cenário de rotatividade de pessoal nas organizações, a conscientização se torna uma estratégia fundamental para assegurar que cada membro da equipe compreenda e adote medidas adequadas para evitar a exposição não autorizada de informações sensíveis.  

E para melhorar a proteção contra invasões, é necessário integrar pessoas e tecnologia de forma mais orgânica possível, pois os ataques são realizados por humanos e não apenas por tecnologia. Vale ressaltar que, embora a maioria das organizações se concentre apenas na tecnologia, é importante lembrar que é uma pessoa que toma a decisão de atacar uma organização e roubar informações.  

Em suma, a conscientização de segurança da informação é intrínseca à execução eficaz da implementação da LGPD, fomentando uma mentalidade coletiva de respeito à privacidade e à proteção dos dados. Ao capacitar as pessoas a reconhecerem seu papel como primeira linha de defesa da organização, a conscientização contribui para mitigar e reduzir riscos legais e financeiros, prevenir violações e fortalecer a confiança dos titulares dos dados.  

*Rodrigo Piccirillo Belaque e Vinícius Marinho Brusarosco são consultores de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

No cenário atual, é bem comum encontrar empresas que terceirizam as atividades da cadeia de suprimentos, decisão que, invariavelmente, intensifica a dependência dessas organizações em serviços externos. Contudo, à medida que essas contratações acontecem, há também o aumento de ataques cibernéticos, tornando a segurança digital indispensável para promover um bom funcionamento empresarial. Nesse contexto, a cibersegurança na cadeia de suprimentos ganha cada vez mais importância.

Segundo estudos da Gartner, até 2025, 60% das organizações do mundo todo usarão o risco de segurança cibernética como fator determinante na cadeia de suprimentos. Nesse sentido, a pesquisa mostra a preocupação das empresas sobre os perigos iminentes nas transações comerciais, incluindo fusões e aquisições, bem como contratos com fornecedores. 

Em contrapartida a essas perspectivas, ainda encontramos algumas vulnerabilidades proferidas pelos sistemas de segurança das organizações, que devem se atentar para não cair numa possível ‘cilada cibernética’. Nesse contexto, para melhor visualização destes casos, vamos imaginar uma empresa que tenha terceirizado a infraestrutura do setor de TI (Tecnologia da Informação).  

Cibersegurança na cadeia de suprimentos: consequências e sanções

Caso esse prestador de serviço sofra uma invasão, por exemplo, o atacante pode ter acesso a dados valiosos de quem contratou o trabalho e, dessa forma, comprometer a segurança, tanto do acesso remoto ou de dados pessoais e sensíveis da organização que o contratou. Mesmo que a contratante tenha controles avançados de segurança, a empresa ainda pode ser prejudicada pelo ataque, devido a esse terceiro vulnerável. 

Além disso, se os dados acessados incluírem informações pessoais de clientes, a empresa que terceirizou esse serviço pode enfrentar sanções sob a LGPD (Lei Geral de Proteção de Dados), pois a propriedade e a responsabilidade das informações são da contratante. Esses casos mostram que a decisão das organizações em terceirizar serviços tão importantes é colocada em xeque, tendo em vista que se pode perder o controle das atividades com a ação de criminosos. 

Diante aos ocorridos, algumas medidas devem ser adotadas para que as empresas da cadeia de suprimentos não se comprometam com os seus clientes. E entre as mais importantes, está a realização de auditorias de cibersegurança e privacidade de forma periódica nesses serviços terceirizados. 

Essa avaliação vai identificar se os terceiros implementam controles de segurança tão rígidos quanto aos da contratante. Além disso, é considerável que a empresa deva assegurar que os contratos tenham cláusulas exigindo dos prestadores de serviços a implementação de controles de segurança de informações, bem como mecanismos de demonstração de conformidade com a LGPD. Isso ajuda a contratante a se precaver de possíveis infortúnios advindos de ataques cibernéticos. 

Também é importante ter em mente as vulnerabilidades postas aos acessos remotos, assim como a dados sensíveis e pessoais. Mesmo que as ações ocorram via VPN (em português, Rede Privada Virtual) – considerada segura por ser criptografada, ela também pode ser uma questão na parte de segurança, devido a ataques de roubo de senhas. Isso possibilita que um invasor que tenha as credenciais de terceiros acesse informações sensíveis da empresa, especialmente se as permissões estiverem mal configuradas.  

Neste caso, para mitigar os riscos, o ZTNA (Zero Trust Network Access, ou ‘acesso de confiança zero à rede’ em tradução livre) cria limites seguros para acesso aos aplicativos. Ou seja, os usuários só terão essa permissão após a verificação da identidade, do contexto e da adesão à política de cada solicitação específica.  

Dessa maneira, ao invés do terceiro ter acesso à toda rede interna via VPN, ele terá um login em um portal que permitirá acesso somente ao ambiente autorizado. Em meio a esse controle, é fundamental realizar avaliações independentes e detalhadas dos riscos de cibersegurança e privacidade de dados antes mesmo da homologação e do início da prestação de serviços. 

Em suma, as empresas devem ter conhecimento sobre os riscos, as responsabilidades e os impactos que incidentes como esses podem trazer, considerando  indispensável a comunicação e a conscientização eficaz entre as equipes, junto aos diferentes envolvidos, a fim de assegurar o sucesso das ações preventivas e estruturadas. A cibersegurança da cadeia de suprimentos é indispensável nesse processo.

*Matheus Jacyntho é diretor de Cibersegurança e André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.

Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.

Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.

Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.

Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.

Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.

Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.

1. Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
2. Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
3. Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
4. Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
5. Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
6. Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
7. Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
8. Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.

Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.

Neste último dia 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) completou seus cinco primeiros anos de criação em prol da privacidade dos dados de indivíduos em território nacional. Desde então, temos avançado em relação à regulamentação, mas ainda há muito o que se fazer para que estejamos, de fato, adotando processos adequados à nova lei.  Respeitar a privacidade dos dados de clientes, desde a sua coleta até o descarte, completando o ‘ciclo da vida dos dados’ de cada um ainda é uma tarefa desafiadora para muitas organizações e isso requer cuidados específicos. Para cumprir essa missão, listo algumas etapas que podem ajudar as empresas na execução dessa importante adaptação dos processos.

Etapas para garantir o ciclo de vida dos dados 

Coleta adequada e minimização: deve ser feita de maneira transparente, com consentimento dos indivíduos e em conformidade com as regulamentações de privacidade de dados, como a LGPD. Também é importante permitir que os usuários gerenciem suas preferências de privacidade de forma fácil e clara. Outra recomendação a ser aplicada nesse ponto inicial é o de minimização, que consiste em coletar apenas as informações necessárias, para fins específicos. 

Armazenamento seguro dos dados: os dados pessoais devem ser protegidos contra acesso não autorizado, uso indevido ou violações de segurança. Isso exige a implementação de medidas de segurança robustas para proteger as informações em todas as etapas do seu ciclo de vida, incluindo criptografia, controle de acesso, monitoramento contínuo de ameaças e vulnerabilidades, além de realizar auditorias de segurança regularmente. 

Compartilhamento responsável: o compartilhamento de informações com terceiros deve ser feita somente em casos necessários e de acordo com as regulamentações aplicáveis. É essencial, sempre que possível, garantir a anonimização ou pseudonimização para minimizar o risco de identificação dos indivíduos. 

Retenção e descarte adequados: a retenção dos dados deve ser apenas pelo tempo necessário para cumprir os propósitos originais da coleta com base em requisitos regulatórios, legais e operacionais. Após esse período, eles devem ser adequadamente descartados ou anonimizados, evitando riscos de violação de privacidade, bem como a retenção excessiva das informações. 

Mapeamento e monitoramento: esse processo ajuda a identificar lacunas e pontos de melhoria, além de garantir a conformidade com as regulamentações. Deve ser realizada a revisão periódica das políticas e dos procedimentos para garantir que estejam sendo seguidos adequadamente, bem como para identificar mudanças regulatórias e tecnológicas. 

Implementação de programas de conscientização e treinamento: é recomendado a capacitação dos funcionários para que eles compreendam a importância da governança de dados e as práticas adequadas ao longo deste ciclo, o que envolve a conscientização sobre privacidade, segurança, conformidade e ética no tratamento dos dados. 

Fortalecendo a governança dos dados

Ao implementar essas melhorias, as organizações fortalecerão a governança de dados para garantir uma gestão mais eficaz e responsável ao longo deste ciclo. Embora o desafio seja grande, vale mencionar que existem diversas atividades e soluções de tecnologia que podem ser aplicadas em cada etapa deste ciclo. Diante a isso, é importante que as empresas saibam que os desafios são significativos, no entanto, os benefícios resultantes de uma governança adequada dos dados serão valiosos. 

Com este processo bem alinhado, é possível chegar a uma gama de benefícios, dentre os quais estão a ampla proteção das informações, estar em conformidade com as regulamentações, ter redução de riscos e, finalmente, dispor do aumento da confiança dos clientes e partes interessadas pelos serviços oferecidos na organização. 

*Klelio Gentiluci é gerente sênior de privacidade da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.