Desde que o Regulamento Geral de Proteção de Dados passou a vigorar na União Europeia e, naquele mesmo ano de 2018, o Brasil publicou a Lei Geral de Proteção de Dados Pessoais – LGPD – nunca se falou tanto em segurança da informação, em privacidade e em proteção de dados pessoais em nosso país. A ponto de o cidadão médio passar a desconfiar quando se pede o CPF dele num caixa de farmácia.
Os investimentos das empresas em ferramentas e plataformas digitais que atendam aos requisitos da Lei, de medidas técnicas para proteger os dados de acessos ilícitos, são absolutamente necessários e plenamente justificáveis nos planos estratégicos anuais, reforçados pelas notícias diárias vindas de todo o mundo dos ataques de ransomware e outros tipos de golpes.
E como ficam as tais “medidas administrativas” de que fala a LGPD? Normalmente publicam-se as políticas de privacidade, de gestão de dados, de cookies e outras. Também adotam-se algumas boas práticas de segurança da informação, melhoram-se alguns processos, implanta-se um canal de comunicação com o titular (nem sempre eficaz) e nomeia-se um encarregado de dados – muito frequentemente, um DPOaaS – que não conhece profundamente a organização e não tem lá dentro um ponto focal bem definido, alguém que seja o elo forte entre ele e os colaboradores e fornecedores.
Ah, e os treinamentos? Sim, fazem eventualmente as semanas da privacidade, como se fossem medidas espásticas que resolvessem o necessário aculturamento do colaborador para atender ao privacy by default.
Sob a ameaça constante da engenharia social, de um golpe de phishing, de um possível colaborador mal-intencionado ou distraído, as vulnerabilidades se tornam riscos iminentes de se concretizar.
Por exemplo, que tal falar com os colaboradores sobre shoulder surfing, a famosa esticada de olho sobre os ombros para olhar telas de computadores, celulares, documentos? E os e-mails enviados para destinatários errados com informações sigilosas? Ou mesmo enviado para todos aqueles destinatários em cópia, descumprindo de forma escancarada o princípio da necessidade da LGPD, só para “tomarem conhecimento” quando nem mesmo deveriam?
São inúmeras as formas com que os incidentes de dados podem se manifestar diariamente sem nos darmos conta, como torneiras gotejando lentamente, enquanto estamos de olhos bem abertos e voltados para aqueles que, ironicamente, já devem estar bem controlados tecnicamente.
Assim como o exercício físico, que só vai surtir efeito se o treino for regular e constante, as medidas administrativas de prevenção, contenção e mitigação de incidentes só terão resultados efetivos se “estiverem na veia” do colaborador, se as boas práticas de segurança da informação forem tão naturais para ele quanto a descontração do “sextou”.
