A Lei Geral de Proteção de Dados (LGPD) foi publicada em agosto de 2018, porém só entrou em vigor oficialmente quase 3 anos depois, em meados de 2021. Ela foi criada justamente porque, com a popularização da internet, percebeu-se a necessidade de existir uma regulamentação voltada para a proteção dos dados pessoais dos cidadãos.
No Art. 1, seu objetivo é descrito como “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Os dados sobre os quais a legislação discorre são dois:
- dados pessoais: relacionados à pessoa natural identificada ou identificável;
- dados pessoais sensíveis: são aqueles sobre raça/etnia, religião, posicionamento político, saúde, sexualidade e assim por diante, quando estão ligados a uma pessoa natural.
Isso significa que essa lei abrange tudo que diz respeito ao tratamento de dados pessoais e dados pessoais sensíveis fornecidos por clientes e usuários para empresas públicas ou privadas. E é aí que entra a cibersegurança.
A cibersegurança e o vazamento de dados
Como já mencionamos anteriormente, o Brasil e o mundo têm sido alvos de milhares de ataques cibernéticos por ano. Em março, por exemplo, a rede do jogo NFT Axie Infinity sofreu um prejuízo de quase R$3 bilhões após hackers terem se aproveitado de uma vulnerabilidade em seu blockchain.
Mas, em alguns casos, informações pessoais podem ser ainda mais valiosas do que o dinheiro – e, ainda por cima, nem sempre elas são obtidas através de grandes invasões orquestradas por hackers.
Um claro exemplo disso é o que aconteceu com o Facebook há alguns anos. Quando a empresa Cambridge Analytica lançou um teste na plataforma, ela acabou tendo acesso aos dados de todos aqueles que participaram e de todas as suas conexões – o que totalizou mais de 50 milhões de contas.
O que a empresa fez com esses dados? Usou para fazer propaganda política a favor de um dos candidatos que disputava as eleições estadunidenses. Alguns especialistas afirmam que isso teve um impacto direto no resultado que elegeu o presidente do país.
Episódios como esse revelam a importância da cibersegurança para preservar a integridade de informações pessoais. Não é possível saber como funcionavam os testes de segurança do Facebook na época, mas a sua realização de forma frequente e por uma equipe especializada poderia ter ajudado a evitar esse grande vazamento.
Responsabilização: o que diz a LGPD?
O art. 46 discorre que as instituições que lidam com o tratamento de dados “devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Já o capítulo VIII aborda as sanções administrativas que são passíveis de serem aplicadas caso a empresa não seja capaz de cumprir as medidas apontadas, que variam desde advertências e multas até a proibição total de atividades relacionadas ao uso e tratamento dos dados, de acordo com a gravidade da situação.
Isso sem mencionar que, aqueles que se sentirem prejudicados pelo ocorrido, ainda podem tomar outras medidas cabíveis, como entrar com um processo de indenização por danos morais.
A lei é clara: se sua empresa lida com qualquer tipo de dado pessoal, é sua responsabilidade garantir a privacidade dessas informações – e caso não consiga, a responsabilidade também será sua de arcar com as consequências jurídicas, financeiras e morais.
O lado positivo é que não é tão difícil tomar ações de cibersegurança para isso. O pentest encontra brechas e vulnerabilidades em redes e sistemas, ajudando instituições a se prevenir de ataques cibernéticos, a preservar a integridade dos dados pessoais e a credibilidade da empresa.
Saiba mais sobre o pentest e garanta-se.