Segurança da Informação: Principais Áreas de Riscos Dentro da Empresa

Por Thaís Netto - 27/04/2024 as 12:14

A Lei Geral de Proteção de Dados - LGPD afeta diversos setores, como a agricultura, a indústria, o comércio, o de serviços, o de distribuição e logística, entre outros. Além disso, a LGPD não se aplica apenas às grandes empresas, atinge empresas de pequeno porte, restaurantes, academias e clínicas médicas. 

Este artigo objetiva abordar quais as principais áreas de risco dentro da empresa. A análise engloba também aspectos importantes sobre a proteção de dados, os riscos e a segurança digital.

Proteção de dados e Riscos 

Com a crescente utilização das plataformas digitais têm sido cada vez mais gerados e acumulados dados, que vão desde números de documentos, endereços, dados bancários, biometria, entre outras informações pessoais que possibilitam ainda, traçar o perfil do indivíduo, compreendendo até as suas opiniões políticas e filosóficas. 

A LGPD surge inspirada no Regulamento Geral sobre a Proteção de Dados - RGPD da União Europeia e objetiva dispor sobre o tratamento de dados pessoais, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural. 

A referida lei aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público ou privado, podendo atingir empresas que não estejam localizadas no território nacional. Conforme indicado no artigo 5º, Inciso XVII, da LGPD, a empresa deve elaborar um relatório antes de realizar o tratamento de dados pessoais, o Relatório de Impacto à Proteção de Dados Pessoais - RIPD.

O RIPD deve indicar medidas, salvaguardas e mecanismos de mitigar o risco. Antes de definir tais pontos, deve-se identificar os riscos que geram impacto potencial sobre o titular de dados pessoais, classificando-os como risco baixo, moderado e alto. Salienta-se que deve ser indicado o risco independentemente de sua natureza - técnica, administrativa, de segurança da informação ou de privacidade (GUIA LGPD, 2020). 

Os riscos referentes ao tratamento de dados pessoais podem ser de acesso não autorizado, modificação não autorizada, perda, roubo, remoção não autorizada, retenção prolongada de dados sem necessidade, compartilhar ou distribuir dados pessoais com terceiros fora da administração pública federal, sem o consentimento do titular de dados pessoais, entre outros (GUIA LGPD, 2020). 

É fundamental que os agentes de tratamento de dados busquem adotar medidas para proteger os dados de acessos não autorizados, situações ilícitas de destruição, de perda de dados ou de tratamento ilícito. Com relação ao acesso não autorizado a informações, podem ser adotadas medidas de controle de acesso, medidas de desenvolvimento seguro e medidas de segurança em rede. 

Principais áreas de risco dentro da empresa 

Conforme delimitado anteriormente, diversas empresas serão afetadas pela LGPD, não somente as grandes empresas. Para identificar quais as áreas dentro da empresa que são consideradas áreas de risco e que serão mais afetadas pela LGPD, é importante compreender qual o ciclo de vida dos dados pessoais dentro da organização, que passa pelas etapas de coleta, de processamento, de análise, de compartilhamento, de armazenamento, de reutilização e de eliminação de dados pessoais. 

As principais áreas são: a área de relacionamento com os clientes, os empregados, os fornecedores, os compradores e os terceirizados; a área comercial; o setor financeiro; a gestão de pessoas; a contabilidade; o setor Tecnologia da Informação - TI; o jurídico; o marketing e, principalmente, a área de processamento de dados. 

Com relação à área de recursos humanos, pode-se dizer que coleta, armazena e manipula dados de diversas pessoas, como nome, dados bancários, biometria, endereço, número de telefone, e-mail, perfil do Linkedin, informação de saúde, entre outros. 

Para adequar a área de RH às disposições da LGPD, é necessário em um primeiro momento, mapear quais dados o setor indicado possui, onde estão localizados e por quanto tempo tais dados ficam armazenados. Posteriormente, deve-se verificar a necessidade de armazenar certos dados, elaborar termos de consentimento de uso de dados e acordos de confidencialidade. Destaca-se que devem ser coletados e armazenados os dados que forem estritamente necessários para as suas ações. 

A área de marketing utiliza dados para criar campanhas e estratégias. As principais estratégias de marketing afetadas pela LGPD são: inbound marketing, marketing de conteúdo, segmentação de dados, e-mail marketing, anúncios baseados em cookies, redes sociais e landing pages. Destaca-se que a LGPD prevê o consentimento para o tratamento de dados pessoais, ou seja, o titular do dado pessoal / consumidor deve manifestar-se de forma livre, informada e inequívoca autorizando a coleta de dados. Dessa forma, é importante que a empresa exponha com clareza ao consumidor o objetivo da coleta do e-mail e de outros dados. 

O departamento de TI deve garantir a segurança de dados bancários, endereços de e-mail e IPs, ou seja, tais dados devem ser mantidos como confidenciais e não podem ser acessados sem autorização. É imprescindível que a área de TI desenvolva mecanismos para prevenir a ocorrência de ataques cibernéticos, backup e restauração de dados importantes da empresa, entre outros. Outrossim, é importante que sejam realizadas palestras com o intuito de instruir os colaboradores da organização sobre os cuidados que se deve ter ao abrir os e-mails e baixar programas desconhecidos. 

Segurança da Informação 

Toda a situação indicada de riscos, de acessos não autorizados e de vazamentos de dados está atrelada a Segurança da Informação, que é alcançada pela implementação de um conjunto de controles, incluindo políticas, processos, procedimentos e funções de software e hardware. 

Segundo a Advogada Patrícia Peck Pinheiro (2016) a Segurança da Informação visa a três pontos: a confidencialidade, a integridade e a disponibilidade. A confidencialidade indica que a informação apenas deve ser acessada por quem for autorizado; a integridade na medida em que deve-se evitar que os dados sejam apagados ou alterados sem autorização do proprietário e a disponibilidade para garantir que as informações estejam disponíveis para acesso.

Na atualidade tem crescido o número de casos em que Malwares atacam dispositivos móveis, causando danos e roubo de informações. Dessa forma, para garantir a Segurança Digital e se precaver da ocorrência de vazamentos de dados e de informações confidenciais da empresa, é fundamental que seja elaborada uma Política de Segurança da Informação, contendo todas as regras e padrões para a proteção das atividades da organização. A respectiva Política deve ser seguida pela equipe de TI da organização e pelos demais colaboradores.  

Referências:

GUIA de Boas Práticas da LGPD. Governo Federal. Abril de 2020. 

LEITE, Luciano Vasconcellos.; LAMBOY, Christian Karl de.; ANDRADE, Marcelo Henrique Lapolla Aguiar. Manual de Implementação da Lei Geral de Proteção de Dados. 1 ed. São Paulo: Via Ética, 2019. 

PINHEIRO, Patrícia Peck. Direito Digital. 6 ed. São Paulo: Saraiva, 2016.