Bad Rabbit, o novo malware da família do Ransonware: Do que se trata? Devo me preocupar?
25 de outubro de 2017
GDPR: Quais os 12 principais desafios das organizações?
20 de dezembro de 2017
GDPR
Por Bruno Pinheiro dos Santos, consultor de Segurança da Informação da EZ-Security.

Antes de começar a ler este artigo sobre GDPR, reflita sobre estes questionamentos:

  1. Você já recebeu algum e-mail indesejado sobre produtos e serviços em sua conta pessoal?
  2. Você já recebeu alguma mensagem de texto em seu smartphone com propagandas sobre um serviço ou produto ao qual você não forneceu seus dados ou solicitou mais informações?
  3. Voce já entrou em algum website e automaticamente se deparou com informações, na tela principal, sobre produtos que você pesquisou ou adquiriu em outro momento?
  4. Você já recebeu sugestões de pessoas, páginas, empresa e comunidades baseadas no seu perfil ou geolocalização das mídias sociais?
  5. Você já recebeu algum telefonema de empresas que desconhece, e que possuíam seus dados pessoais, oferecendo produtos ou serviços que você nunca ouviu falar?

Se você respondeu SIM para uma ou mais perguntas acima, acredito este conteúdo possa ser benéfico para seu conhecimento.

Atualmente os dados pessoais de bilhões de usuários espalhados pelo mundo, são processados e armazenados e não temos a ciência de quem detém essas informações e muito menos como elas estão sendo utilizadas.

Quando realizamos um cadastro em um website ou um aplicativo de celular, ou quando compramos um chip para telefonia móvel, ou um produto e/ou serviços, informamos dados pessoais tais como nome, endereço, CPF, dados bancários, entre outros.

Estes dados são confidenciais e muitas vezes são processadas, manipuladas e armazenadas por uma ou mais empresas e o usuário que as disponibilizou, muitas vezes não tem a ciência da cadeia de manipulação de dados.

Para que possamos ter uma ideia do cenário atual, um aplicativo de smartphone pode ter acesso a dados bancários, dados pessoais, lista contatos do celular, lista de contatos das mídias sociais, número do seu celular, geolocalização, perfil de acesso e compra em sites além outras informações.

Diante desse fato, em que os dados de milhões de usuários estão expostos a falta de privacidade e proteção de seus dados pessoais, a União Europeia (UE) regulamentou a GDPR (General Data Protection Regulation) no dia 14 de abril de 2016.

Essa regulamentação vem de encontro com a necessidade da proteção e privacidade de dados dos usuários residentes da EU em num momento global aonde diariamente vemos notícias de empresas que tiveram dados de clientes expostos.

Um caso muito famoso de violação de dados recentes foi do site Ashley Madison em julho de 2015. O famoso site de assuntos conjugais sofreu um ataque cibernético levando a exposição a público mais detalhes de cerca de 33 milhões de usuários.

Mas o que seria a GDPR – General Data Protection Regulation?

GDPR trata de uma regulamentação de proteção de dados que tem por objetivo proteger todos os cidadãos da União Europeia de violações de privacidade em um mundo cada vez mais conectado, interligado e com um volume de dados crescente a cada ano.

Essa regulamentação é a mudança mais importante na regulamentação relacionada a privacidade de dados nos últimos 20 anos uma vez que a última diretiva relacionada ao assunto foi estabelecida em 24 de outubro de 1995 pelo Parlamento Europeu com o nome de Directiva 95/46/CE.

Apesar do princípio fundamental de privacidade dos dados dos cidadãos da União Europeia (EU) ser preservado através dessa diretiva, foram consideradas diversas mudanças de forma a se tornar uma regulamentação inclusive, considerando penalidades perante as organizações que não a respeitarem.

A GDPR foi aprovada em 14 de abril de 2016 pelo Parlamento do UE e iniciará no dia 25 de maio de 2018 as penalidades a todos os estados membros da UE (Alemanha, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos (Holanda), Polônia, Portugal).

O escopo da regulamentação aplica-se tanto ao controlador dos dados quanto aos processados dos dados envolvendo indivíduos residentes da UE. O controlador é qualquer organização que coleta dados e processador é qualquer organização que processe os dados em nome do controlador dos dados.

Um ponto muito importante da GDPR trata-se da extensão geográfica dessa regulamentação uma vez que ela pode se aplicar também a organizações localizadas fora da UE caso essas ofereçam bens e/ou serviços a pessoas que residem na EU.

Portanto qualquer empresa de qualquer tamanho que processe ou armazene informações de pessoas que residem na UE serão regulamentadas e passiveis de penalização incluindo também o Reino Unido que recentemente saiu do bloco da UE.

O que são os dados pessoais, de acordo com a GDPR?

Segundo a regulamentação GDPR, dados pessoais são quaisquer informações relacionadas a uma pessoa que possam ser usados para identifica-la direta ou indiretamente. Pode ser um nome, foto, endereço de e-mail, dados bancários, postagem em sites de redes sociais, informações médicas, dados de GPS, cookies ou até mesmo um simples endereço IP do computador são considerados dados pessoais.

E quais mudanças serão ocasionadas pela GDPR?

A regulamentação GDPR informa que as organizações que processam e controlam dados de pessoas residentes da EU só poderão utilizar dados pessoais dos usuários com consentimento do mesmo e esse consentimento deverá ser pedido de forma inteligível, facilmente acessível, usando linguagem clara e simples e também deverá ser fácil para o usuário retirar tal consentimento a qualquer momento.

Usuários menores de 16 anos só poderão ter seus dados processados com o consentimento dos pais ou responsáveis e crianças menores de 13 anos não poderão ter seus dados processados e controlados.

O usuário terá o direito de ter o conhecimento sobre as informações por ele concedidas ao controlador dos dados tais como quais dados estão sendo processados, aonde o dado está sendo processado, quem está processando o dado, qual finalidade desse processamento e além disso, o controlador dos dados deverá disponibilizar uma cópia dos dados pessoais do usuário de forma gratuita e em formato eletrônico para caso o usuário.

O usuário também terá o direito de realizar a portabilidade dos dados de uma controladora para outra controladora ou até mesmo ter um “backup” dos seus dados. O direito ao esquecimento também é um ponto importante da GDPR uma vez que o usuário terá o direito de solicitar ao controlador dos dados, apagar os dados pessoais, interromper a disseminação dos dados e a suspensão de quaisquer terceiros sobre o dado processado do usuário.

Qualquer violação de dados pessoais que resulte em risco para os direitos e liberdades dos indivíduos residentes da EU esse deverá ser notificado pelo controlador dos dados em um prazo de até 72 horas após ter tomado conhecimento da violação.

Qualquer pessoa que tenha sofrido danos por processamento ilegal de seus dados terá direito a receber uma indenização desde que esteja inserido nos parâmetros da regulamentação da GDPR.

A GDPR promoveu uma mudança profunda na questão da notificação do consentimento de dados juntos aos usuários. As condições de consentimento de dados foram melhoradas, uma vez que as empresas não poderão utilizar termos e condições longas e ilegíveis, cheio de termos desconhecidos da grande maioria da população.

Com a GDPR, os termos de consentimento dos dados deverão ser facilmente acessíveis, inteligível e com o objetivo direto do processamento dos dados junto anexado ao consentimento.

O consentimento deverá ser claro e distinguível de outros assuntos utilizando uma linguagem clara e simples e o usuário poderá consentir um direto ao acesso a um dado pessoal quanto a retirar esse acesso a qualquer momento.

Um ponto importante da GDPR trata-se da privacidade pelo design que é um conceito já existente no mercado, porém pouco aplicável. A GDPR exige que a proteção de dados seja projetada desde a concepção e/ou desenvolvimento dos processos de negócio servindo tanto para produto, serviços e equipamentos exigindo que as configurações de privacidades sejam definidas num alto nível de padrão e que as medidas técnicas e processuais devam ser atendidas pelo controlador, a fim de garantir que o ciclo de processamento esteja em conformidade com a regulamentação.

Logo, os controladores e processadores de informação deverão reorganizar suas metodologias de processos e operações relacionadas aos dados dos usuários garantindo que esses dados pessoais sejam processados somente quando forem necessários e com um proposito especifico.

Um ponto técnico importante sobre privacidade dos dados é relativo ao armazenamento de dados terceirizados em nuvens remotas pela sua praticidade e relativa segurança, possuem larga utilização global porém de acordo com a regulamentação, somente o proprietário dos dados poderá ter a custodia das chaves de criptografia dos dados além do fato do processo de criptografia e descriptografia deverá ser realizado obrigatoriamente de forma local e não por quaisquer serviços remotos porque ambas as chaves são de propriedade exclusiva do proprietário garantindo com isso a privacidade e proteção dos dados.

Quem irá auditar as organizações referentes a GDPR?

 

Data Protection Authorities (DPA)

As DPA são organizações independentes com a atribuição de controlar, fiscalizar o processamento, emitir um parecer jurídico e legais sobre o tratamento de dados pessoais além de exercer poderes de investigação sobre os tratamentos dos dados da organização de forma a garantir o compliance das organizações junto a GDPR.

Existem diversas comissões espalhadas pelos países da EU e cabe aos controladores obrigatoriamente, notificar suas atividades de processamento de dados com os DPA locais o que pode ser um desafio imenso uma vez que algumas organizações possuem atividades em mais de um pais do bloco europeu.

E as penalidades referentes ao GDPR?

A regulamentação GDPR especifica uma multa máxima a infratores da GDPR em até 4% do volume de negócios global anual ou 20 milhões de euros tendo como fator de decisão a maior valor entre as duas possibilidades.

Para infrações menores, essa poderá ocasionar multas de cerca de 10 milhões de euros ou 2% do volume de negócios global anual sendo considerado o maior valor também. A multa se aplicasse tanto a controlador dos dados quanto a quem os processa logo, isso é aplicável também as empresas de cloud (nuvem) que hoje realizam um grande serviço provendo infraestrutura, processamento, armazenamento e hospedagem de aplicações.

Um ponto importante da regulamentação é que ao contrário da Diretiva 95/46/CE de 1995 mencionada anteriormente, a GDPR se trata de uma regulamentação que é um ato legislativo no qual deve ser aplicado em toda a EU enquanto uma diretiva é somente um objetivo que todos os países da EU devem alcançar.

Mas e como as organizações irão se preparar para o compliance com o GDPR?

 

Data Protection Officer (DPO)

O DPO é um perfil de liderança a ser considerado pelas organizações com a responsabilidade de atuar na elaboração da estratégia, supervisionar e aconselhar a organização no tratamento e proteção de dados pessoais manipulados pela organização garantindo o compliance com a GDPR. O DPO também deverá planejar políticas, procedimentos, treinar os funcionários garantindo a proteção e privacidade dos dados.

Além das funções mencionadas, ele será responsável por monitorar, notificar e comunica quaisquer violações de dados pessoais e documentar pedidos do público relacionados a remoção, destruição e acessibilidade dos dados manipulados pela organização tendo que reportar diretamente ao mais alto nível de gerenciamento hierárquico da organização.

Privacy Impact Assessment (PIA´s)

As PIA´s são avaliações de impacto na proteção de dados que podem ser executados pela organização ou empresas terceiras de forma a avaliar a origem, natureza, particularidade e a gravidade do risco para os direitos e liberdade dos usuários.

O PIA´s deverá ajudar a identificar potenciais não conformidades da organização em relação a proteção de dados e ajuda-las a mitigar essas não conformidades.

A realização de PIA´s segundo a GDPR deverão ser realizados de forma obrigatória quando ocorrer um novo projeto envolvendo o uso de dados pessoais, novos sistemas de TI para armazenamento de dados pessoais, uma iniciativa de compartilhamento de dados com organizações terceiras, uma atividade de identificação de dados demográficos específicos e em casos que sejam necessários utilizar dados existentes da organização para um novo proposito ou uma utilização mais intrusiva desse dado.

Conclusão

A regulamentação GDPR é um grande passo mundial dado pela Europa para a proteção e privacidade e o usuário é o grande beneficiado tendo seus direitos a privacidade garantidos desencadeando uma onda de melhoria tecnologia, processual e principalmente cultural e dará insumos para mudanças nesse espectro em todo o mundo.

A partir de maio de 2018, o mundo irá controlar, proteger e respeitar os direitos dos indivíduos relacionados aos seus dados pessoais pelo menos em todo o território Europeu fazendo que empresas do tamanho de Google, Amazon, Microsoft, Facebook entre outras reorganizem todos os seus processos de custodia de dados de usuários afim de garantirem o compliance com a GDPR.

Essa mudança irá afetar indiretamente o mundo inteiro e a longo prazo, deverá desencadear novas linhas de pensamento e debates mundiais de como as organizações deverão custodiar e processarem as informações dos usuários.

Se considerarmos a quantidade atual de usuários conectados à internet, que é de 3,2 bilhões, as informações geradas por essa massa gigantesca de pessoas e algo muito valioso nos dias atuais.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *