Menu
O aumento dos ataques cibernéticos nas organizações é uma tendência global que aumenta a cada dia. E um dos grandes desafios é a necessidade urgente de mudança interna nas empresas com relação à conscientização da segurança da informação e adequação às Leis de proteção de dados pessoais, como a LGPD.
Para muitos, um ataque cibernético está distante da sua realidade e nunca irá acontecer. Até o dia em que começam a enfrentar problemas que podem afetar financeira e negativamente a marca.
Foi o que aconteceu na sexta-feira passada com a Unimed Belém, onde informou que sofreu tentativas de ataques cibernéticos em seus sistemas operacionais na terça-feira (11).
Em comunicado, a companhia explicou que após a identificação do incidente, as equipes de controle adotaram medidas para impedir o avanço da iniciativa maliciosa. “A cooperativa informa que ainda não possui total conhecimento sobre a extensão do ocorrido, contudo esclarece que, além da devida assessoria jurídica e técnica para conter o problema, foram adotadas medidas para manter seguros os servidores e backups”, diz nota publicada.
A companhia afirma ainda que, no momento, estão sendo executados planos de contenção com a implementação de ferramentas para evitar que a instabilidade do sistema continue a impactar a operação da Unimed em Belém.
Observe que esse tipo de ataque pode gerar impactos profundos para o negócio, como a instabilidade no sistema e até perda do banco de dados, impossibilitando a continuidade do trabalho.
Por isso, priorizar a segurança e investir em proteção, detecção e medidas de respostas é uma realidade. Em um mundo digitalmente conectado, é preciso deixar a organização devidamente em conformidade com as melhores práticas de proteção de dados e ter uma equipe especializada em ação, assim como fez a Unimed Belém.
Este não é um caso isolado!
Em setembro deste ano, a Golden Cross, outra empresa do setor de saúde suplementar no Brasil, também foi vítima dos cíbercriminosos e teve parte de seu sistema comprometido.
Neste caso, os cibercriminosos responsáveis pelo incidente até deixaram uma mensagem no site da empresa em que dizia: “Fomos nós que vazamos todos os dados da Golden Cross para nossos servidores. Sim, é verdade, o vazamento de dados não autorizado foi realizado”, diz a mensagem.
Infelizmente as empresas lidam diariamente com essas ações de criminosos. Portanto, é de extrema importância que as organizações estejam adequadas e preparadas, demonstrando que adotaram medidas de segurança cabíveis para o seu porte e segmento, principalmente quando algum incidente de dados acontecer.
Não deixe mais para depois o início da adequação à LGPD. Conte conosco!
Fonte da notícia: Security report
Os cartórios são verdadeiros depósitos de informações pessoais e dados sensíveis. Certidões de nascimento, casamento, óbito, abertura e fechamento de empresas… tudo passa por eles! Por esse motivo, não poderia ser diferente: o cumprimento da LGPD nos cartórios já é uma exigência.
Inclusive, aqueles que não estão adequados podem não apenas sofrer penalidades por parte do órgão fiscalizador (a Autoridade Nacional de Proteção de Dados, também conhecida como ANPD), como também perder grandes oportunidades de negócios.
Isso porque empresas que precisam constantemente de serviços notariais e de registro dão prioridade àqueles que estão adequados à lei — uma vez que elas mesmas precisam prestar contas.
Entretanto, quando se trata desse setor específico, nem tudo é tão simples. Existem algumas particularidades que geram dúvidas e até duplas interpretações sobre o que manda a lei.
Continue lendo este artigo e entenda!
Para início de conversa, vale relembrar que, no Brasil, os cartórios têm natureza jurídica híbrida. Isso significa que eles têm características de serviços privados e públicos, uma vez que são exercidos no primeiro âmbito por delegação do segundo.
Por este motivo, eles precisam estar alinhados com os princípios de publicidade e transparência dispostos na Constituição Federal. Então é aqui onde começa o grande impasse.
Como respeitar uma sem ferir a outra, uma vez que o direito à privacidade também é protegido pela Constituição?
Já considerando essas implicações com a lei máxima do país, a LGPD aborda essas questões.
Em seu texto, a Lei Geral de Proteção de Dados diz que algumas informações pessoais podem ser tratadas sem a necessidade do consentimento prévio do titular. Porém, no caso de disponibilização, o acesso deve ser justificado considerando:
Porém, a gente precisa concordar que todos esses itens — talvez apenas com exceção do primeiro, que é indicado pelas bases legais dispostas na Lei — são muito subjetivos, certo?
Então como fazer essa avaliação?
A melhor forma de lidar com as imposições da LGPD nos cartórios é contar com um auxílio jurídico especializado nessa Lei. Por isso, é essencial a contratação de um Data Protection Officer (DPO, ou em português, Encarregado de Proteção de Dados).
Esse profissional será responsável por fazer a comunicação entre os cartórios, os solicitantes, os titulares e a ANPD. Além disso, ele também fica responsável por avaliar os casos específicos, entendendo como eles se encaixam em todo esse cenário descrito no artigo.
Ainda não está convencido sobre essa necessidade e quer entender mais sobre o cargo de DPO?
Então baixe o nosso e-book gratuito para conhecer mais sobre as funções e responsabilidades do DPO em uma empresa.
Para a LGPD, configura-se “tratamento de dados pessoais” toda e qualquer operação realizada com essas informações — desde a sua coleta, até o armazenamento e compartilhamento, e, por fim, o descarte.
Nesse sentido, a lei determina algumas normas e boas práticas para toda ação realizada com esses dados, pedindo, inclusive, justificativas para esse uso.
Neste artigo, veja quando a lei permite tratar esses dados.
Dados pessoais são informações de muito valor no mundo moderno. Por este motivo não podem ser tratados de qualquer forma.
Por isso, a LGPD estabelece algumas bases legais para o tratamento deles — ou seja, somente nesses casos previstos em lei uma empresa pode coletar e tratar dados.
A legislação estabelece 10 deles.
A empresa pode tratar dados para fins específicos — que devem estar claros para o usuário, bem como por quanto ficará armazenado e quem receberá essas informações — desde que o titular autorize espontaneamente. Mas atenção! O consentimento pode ser revogado pelo titular a qualquer tempo.
Necessário para o cumprimento de outras leis ou atos normativos, como a legislação trabalhista, que exige o armazenamento de dados dos colaboradores de uma empresa para fazer contratações, por exemplo.
O uso e o compartilhamento de dados é possível para cumprir leis que estabelecem políticas públicas, como assistência social. Essa hipótese é aplicável somente à administração pública.
Órgãos de pesquisa, como o IBGE, estão respaldados pela LGPD para fazer o tratamento de dados. Entretanto, a lei recomenda que, sempre que possível, seja feita a anonimização dessas informações.
Quando os dados são necessários para preparar ou cumprir parte de um contrato, como na formalização da venda de um imóvel ou contratação de um funcionário.
A lei possibilita o tratamento de dados para exercer o direito de defesa e produção de provas dentro de processos judiciais ou administrativos.
Quando a vida de alguém ou a sua integridade física está em jogo, é possível coletar dados para manter o seu bem estar. Por exemplo, quando alguém passa mal na rua e é necessário pedir socorro ou chamar alguém conhecido.
Essa possibilidade atinge só profissionais da saúde, autoridades sanitárias e serviços de saúde de modo geral. Eles podem recolher dados para exercer suas atividades, por exemplo, revelar resultados de exames para pacientes.
Essa base permite a comunicação entre empresas e órgãos de proteção de crédito, para manter informações sobre cadastro positivo e pendências financeiras dos titulares.
Por fim, essa é a base legal mais genérica. A lei diz que o tratamento de dados pessoais é permitido para atender aos interesses legítimos do controlador e do terceiro, desde que não fira direitos do titular.
Entender esses requisitos para o tratamento de dados pessoais na LGPD é o primeiro passo para entrar em conformidade com a lei. Mas, depois deles, ainda têm vários outros.
Se você quer saber como entrar em compliance com a legislação, tratar suas bases do jeito certo e evitar problemas com a ANPD, baixe o nosso material sobre como se adequar à LGPD.
Você vai encontrar diversas dicas para implementar a lei na sua empresa!
Atuando no ambiente corporativo, você com certeza já ouviu essa palavra, seja em um curso, uma palestra ou ou na fala de uma consultoria que tenha contratado. Mas se ainda fica se perguntando “o que é compliance?”, ainda mais dentro do seu contexto de trabalho, chegou ao lugar certo!
Neste artigo, vamos explicar o que significa esse termo, porque ele merece a sua atenção e como se aplica no seu dia a dia. Continue lendo para entender!
A palavra compliance vem do verbo em inglês “to comply”, que, em português, significa, basicamente, “estar de acordo”. No contexto de empresas, ela se refere ao cumprimento de regras, normas, direcionamentos e boas práticas que se aplicam ao negócio em contexto e ao nicho em que ele atua.
Entrar em conformidade com esse conjunto de regulamentações é necessário, principalmente, para evitar problemas que gerem prejuízos financeiros e de reputação para a sua marca. Então, podemos defini-la também como um mecanismo de redução de riscos.
Mas as vantagens não param por aqui.
Estar em compliance com as leis — sejam elas de ordem trabalhista, tributária, entre outras —, também:
Por esses motivos, vale a pena investir em um Programa de Compliance.
A função de um Programa de Compliance é guiar a empresa nesse processo de adequação às leis que, de alguma forma, incidem sobre ela. Mas ele não se resume só a isso.
Um plano desses também é dedicado a outros riscos que se relacionam, por exemplo, com a cultura organizacional da empresa e o seu posicionamento ético e social.
Para montar um, existem alguns passos fundamentais que podem ser criados a partir dos seguintes questionamentos:
Agora que você já sabe o que é compliance, para entrar em conformidade com normas que se apliquem ao seu negócio, é necessário entender quais são essas regras.
Por isso, o primeiro passo é fazer um levantamento de recomendações, indicações e normas que influenciam na sua forma de trabalho.
Por exemplo: se a sua empresa faz coleta e tratamento de dados pessoais (que é o caso da maioria), você está sujeito à Lei Geral de Proteção de Dados Pessoais (LGPD) e deve estar em dia com essa legislação.
Depois que fizer isso, analise o posicionamento da sua empresa frente a essas regras, elaborando uma matriz de riscos. Liste nela:
Voltando ao exemplo da LGPD, você pode mapear como dados sensíveis têm sido tratados na sua organização, se esse formato apresenta risco de vazamento, por exemplo, e quais seriam os impactos de um incidente desse.
Em seguida, com essa matriz estabelecida e os problemas mapeados, é hora de pensar em soluções. Faça um brainstorming com a sua equipe e pense em maneiras de mitigar os riscos apontados. Além disso, nesse momento, pode ser necessário contar com uma ajuda especializada — como um DPO no caso da proteção de dados.
Agora que você já entendeu o que é compliance e percebeu que precisa seguir algumas regras, como a LGPD, veja como entrar em conformidade com a Lei Geral de Proteção de Dados.
E vamos para mais um incidente envolvendo dados nas organizações de saúde.
Desta vez, o alvo de um ataque hacker foi a rede de laboratórios Upscience, sediada em Hortolôndia (São Paulo).
O incidente veio a público por meio de um informe publicado no Estado de São Paulo desta terça-feira, 12/07, onde detalha que o ataque aconteceu por meio de um acesso não autorizado aos sistemas, no qual foi identificado em 'duas horas e neutralizado após o acionamento de nossos rígidos protocolos de segurança'.
Como um dos procedimentos de mitigação do incidente, o Laboratório seguiu as exigências da LGPD e acionou a Autoridade Nacional de Proteção de Dados, responsável por fiscalizar e averiguar casos como este, repassando toda a situação. O Laboratório assegura que não há indícios, até o momento, de 'uso indevido dos dados pessoais acessados'.
Casos como este estão cada vez mais comuns nas empresas. E podemos ver o órgão responsável pela aplicação e fiscalização da LGPD bem ativo na averiguação do caso.
Mais do que nunca, deixar a empresa adequada a essa Lei, com todos os protocolos de segurança, prevenção e mitigação de riscos é imprescindível para acompanhar as melhores práticas do mercado e garantir a segurança dos titulares de dados.
Um caso recente envolvendo LGPD, sigilo médico e dados sensíveis ganhou grande repercussão na mídia. A atriz Klara Castanho se viu forçada a divulgar publicamente que foi vítima de violência sexual, o que acabou resultando em uma gravidez indesejada. Mesmo tendo direito ao aborto legal, ela decidiu levar esse período gestacional até o fim. O seu plano era entregar a criança para adoção e, para tal, ela seguiu todos os protocolos determinados pela legislação vigente.
Klara afirma que resolveu fazer esse relato porque havia diversas pessoas comentando o seu caso publicamente e a atacando nas redes sociais. Mesmo o seu nome não sendo revelado, outras informações e detalhes do caso tornavam possível sua identificação.
Como se não bastasse toda violência que a jovem sofreu, a atriz disse ainda que, logo após o parto, enquanto estava sob os efeitos da anestesia, foi abordada por uma enfermeira que teria especulado em voz alta sobre uma possível publicação das suas informações.
Como sabemos, tanto a Constituição Brasileira quanto as regras de sigilo médico protegem os dados de saúde dos pacientes, e uma violação da privacidade e do sigilo como a sofrida pela jovem é algo ilegal em diversas esferas, inclusive em relação à Lei Geral de Proteção de Dados.
Isso porque, os dados relacionados à saúde de alguém são categorizados pela Lei como dados pessoais sensíveis. Por se tratar diretamente de aspectos mais íntimos da personalidade do ser humano, os dados sensíveis requerem maior proteção. Se vazados ou utilizados do jeito errado, eles podem causar discriminação ou constrangimento e, a depender do caso, os impactos que tal exposição causa na vida de alguém são enormes.
Em seu relato, publicado há cerca de uma semana no seu perfil do Instagram, isso fica nítido. Nele, a atriz escreveu: “Vocês não têm noção da dor que eu sinto. […] Como mulher, eu fui violentada primeiramente por um homem e, agora, sou reiteradamente violentada por tantas outras pessoas que me julgam. Ter que me pronunciar sobre um assunto tão íntimo e doloroso me faz ter que continuar vivendo essa angústia que carrego todos os dias.”
Outros dados também considerados pela LGPD como “sensíveis” são: dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e dados sobre a saúde de uma pessoa.
As entidades responsáveis por investigar situações de infração ética por parte de profissionais de enfermagem são o Coren (Conselho Regional de Enfermagem de São Paulo) e o Cofen (Conselho Federal de Enfermagem). Ambos órgãos afirmam que estão apurando se teria sido uma enfermeira quem divulgou detalhes sobre o caso de Klara à imprensa, entretanto, o Coren teve o prontuário de atendimento da atriz negado pelo hospital sob a justificativa de necessidade de autorização prévia da paciente.
Pensar em privacidade só agora parece irônico, não é mesmo? O dever de proteger a imagem da jovem começou quando a mesma deu entrada no hospital, a palavra vazamento já nos remete a uma perspectiva negativa.
Por certo, nenhuma instituição ou indivíduo pode fazer uso desse tipo de informação, porém há situações legais que permitem exceções, são elas:
Qualquer uso fora dessa lista é considerado ilegal, ainda mais quando são usados para práticas de discriminação ilícita ou abusiva. É importante destacar que a ANPD é o órgão responsável por assegurar a correta observância da LGPD no Brasil As penalidades para quem divulgar dados sensíveis são variadas, pode ser uma multa simples de até 2% do faturamento da empresa, com limite de até R$ 50 milhões, por exemplo.
Contudo, em casos mais graves, além da multa, pode ocorrer o bloqueio ou a eliminação dos dados pessoais relacionados, a suspensão do banco de dados e até mesmo a proibição parcial ou total da atividade da instituição ou do indivíduo.
Por Vitória Ribeiro
Estagiária de Direito
"*" indica campos obrigatórios