Apesar do tema parecer exclusivo da área de TI, podemos adiantar que nos dias de hoje não é mais. É de extrema importância que todas as áreas de uma empresa estejam atualizadas e alinhadas sobre este assunto, e claro, não seria diferente com o RH, já que coletamos e utilizamos diariamente dados e informações sensíveis da empresa, clientes, fornecedores, parceiros e também dos colaboradores.

Obviamente a preocupação com o sigilo dessas informações sempre foi uma preocupação presente na área, mas com a chegada da LGPD (Lei Geral de Proteção de Dados), as corporações passam a ter mais consciência e total responsabilidade ao lidar com tantos dados preciosos em suas mãos. 

Cibersegurança – O que é?

Esse termo é usado para se referir a segurança dos computadores, servidores, redes, celulares e todos os tipos de dispositivos que armazenam os dados da empresa.

Nos tempos atuais, um dos recursos mais valiosos de qualquer empresa são seus dados. Por isso, cada vez mais ataques maliciosos são praticados no mundo online diariamente – de forma constante e inovadora.

Esses tipos de ataques e crimes virtuais sempre existiram, mas nos últimos anos tem se intensificado, pois com a chegada do coronavírus e a necessidade do trabalho remoto – o acesso às informações apresentam maior vulnerabilidade e exposição – tornando o trabalho dos hackers ainda mais fácil.

LGPD e Cibersegurança

A Lei Geral de Proteção de Dados foi recentemente implementada para regulamentar a forma como as empresas armazenam e processam seus dados, trazendo luz ao tema e garantindo minimamente um olhar mais crítico das empresas para o tema.

Atualizar sua empresa e equipe sobre o tema pode evitar problemas jurídicos e também financeiros, pois o vazamento indevido de dados e o descumprimento das regras pode render multas e indenizações.

Confira alguns pontos importantes apresentados na LGPD:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

• 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
• 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

• 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

• 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

• 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Como a empresa pode se proteger?

De acordo com um relatório da Kaspersky, 40% das empresas no Brasil ainda não tem uma política de cibersegurança estabelecida e 15% entre as que possuem, não exigem dos colaboradores o cumprimento das normas e diretrizes.

Para estar minimamente protegida, sua empresa não precisa saber todos os detalhes técnicos, mas o aprofundamento no tema se faz necessário e precisa ser repassado também aos colaboradores, fazendo parte da cultura da organização, apresentada desde o momento da contração/onboarding e constantemente atualizada e revisitada.

Se sua empresa não possui uma área de TI estruturada, pode contar com consultorias especializadas no assunto para avançar e estabelecer estratégias e planos de ação estruturados.

Apesar de parecer um assunto super complexo, resolver e estabelecer procedimentos e políticas de segurança não é nada de outro mundo.

Garantir a segurança, transparência e respeito com os processos é imprescindível para a saúde de qualquer empresa, portanto, se sua empresa ainda não está atualizada neste assunto, está na hora de mudar o jogo e trazer ainda mais tranquilidade e segurança, tanto para os clientes quanto para os colaboradores.