Privacidade dos dados e criptografia – uma relação de simbiose

A melhor forma de se preparar para o GDPR é implementar uma estratégia de proteção de dados sólida e um processo que deve incluir a encriptação da informação, aumentando assim a eficácia

Em 1995 aprovou-se pela última vez uma lei europeia relevante sobre o tema da proteção de dados. Desde então, o panorama mudou consideravelmente: os dados corporativos confidenciais movem-se fora do perímetro de segurança tradicional das empresas. Os colaboradores enviam os documentos para si próprios através de e-mail, acedem a dados através de smartphones e tablets pessoais e armazenam a informação na cloud.

A União Europeia tem trabalhado em novas propostas para a reforma do Regulamento Geral de Proteção de Dados (GDPR em inglês), com o objetivo de reforçar os direitos de privacidade dos cidadãos da União Europeia, recuperar a confiança nas atividades na rede e melhorar a proteção de dados dos clientes, ao exigir às empresas a adoção de novos processos e controlos de proteção de dados. Já muito se fala deste novo regulamento, mas a menos de um ano para a entrada em vigor (25 de maio de 2018), existe ainda muito desconhecimento sobre quem irá afetar e que de que forma.

Em resposta à primeira questão: o GDPR irá afetar todas as organizações que lidam com informação pessoal de cidadãos da UE, incluindo as que estão sediadas fora deste território. Quanto ao “como”, esta regulamentação irá penalizar as empresas que não protejam esta informação através de sanções que podem chegar aos 20 milhões de euros ou o correspondente a 4% da faturação mundial anual da organização em questão.

A chave: Criptografia

No caso de ocorrer uma fuga de dados pessoais, a empresa é obrigada a notificar imediatamente a autoridade supervisora. Mas, se no momento da perda, os dados estiverem protegidos de tal forma que sejam impercetíveis (e por isso, inúteis para terceiros), e a empresa consiga comprová-lo à autoridade reguladora, deixa de estar obrigada a revelar a perda às pessoas cujos dados foram roubados ou extraviados.

Se uma empresa não adota as políticas internas e implementa as medidas adequadas para garantir e demonstrar o cumprimento das normas, ou não notifica a autoridade responsável ou as partes interessadas sobre um vazamento de dados sempre que ocorre, a autoridade de controlo pode aplicar as sanções já descritas. Resumidamente, se uma organização não implementar a tecnologia necessária para proteger dados pessoais, corre o risco de pagar – diretamente à autoridade reguladora e indiretamente por dados à reputação e à perca de boa vontade e confiança dos clientes.

A melhor forma de se preparar para o GDPR é implementar uma estratégia de proteção de dados sólida e um processo que deve incluir a encriptação da informação, aumentando assim a eficácia. A codificação é geralmente aceite como uma forma adequada de proteger a informação, uma vez que torna os dados ininteligíveis. Desta forma, ninguém pode aceder aos dados reais e esse é o foco das leis e regulamento da proteção de dados.

Quando começar

Até pode parecer que falta muito até maio de 2018, mas há que ter em conta que a aplicação de novas medidas de segurança pode levar algum tempo, mais ainda quando muitas empresas não têm um sistema de proteção dos dados dos seus colaboradores e clientes. A privacidade não se implementa em apenas um dia, é necessário tempo para estabelecer processos e a mentalidade correta em toda a organização. Felizmente, com ferramentas como o Sophos SafeGuard e a sua criptografia transparente, os utilizadores não têm que se preocupar em adotar novos métodos de trabalho, tornando a migração para um “mundo cifrado” o mais transparente e fácil possível.

Na Sophos, prevemos verificar um aumento gradual de empresas à procura de tecnologias de criptografia, com o nosso Sophos SafeGuard, especialmente durante o último trimestre de 2017. À medida que as empresas começam a pensar no GDPR com maior consciência e interesse, ficarão cada vez mais preparadas para a data de entrada em vigor. Dicas para uma melhor adaptação ao GDPR:

Informar-se sobre o GDPR. Procurar informação e quais os passos a seguir para aplicá-lo. Se tiver dúvidas, perguntar a especialistas em segurança ou procurar aconselhamento jurídico.
Coordenação com o departamento de RH. Assegurar- se que os colaboradores entendem quais os passos que a empresa está a seguir para proteger a sua informação.
Estabelecer a importância da proteção de dados. Certificar-se que os colaboradores sabem o que devem fazer em relação à proteção de dados da empresa e que entendem que os clientes dependem dos mesmos para protegerem os seus dados, tal como eles dependem do departamento de recursos humanos para proteção dos seus próprios dados.
Segmentar a informação. No dar acesso a informação que não é necessária para que façam o seu trabalho diário. Segundo o novo regulamento, incluindo a leitura de informação confidencial é considerada fuga de dados.
Toda a informação pode ser confidencial. Se não tem a certeza da sua privacidade, é necessário utilizá-la com a mesma seriedade com que trata a informação confidencial. É recomendável não recolher dados não necessários. Os ladrões roubam o que encontram.
Transparência e honestidade é uma vantagem. Salientar de forma clara e honesta que informação será utilizada, de que forma será utilizada e durante quando tempo, pode ser uma vantagem. Os clientes e colaboradores confiam em empresas claras e honestas.
Utilizar passwords fortes e difíceis. Assegure-se que as passwords não são partilhadas. Desta forma, não só dificulta a perda de informação, mas também evita o abuso de privilégios que podem infringir a privacidade.
Encriptar os dados. É recomendável encriptar todos os dados para proteger a informação de ladrões e olhares indiscretos. A criptografia é o sistema ideal para adaptar-se ao novo regulamento.