Canaltech
Nesta quinta-feira (10), o Congresso Nacional irá promulgar a Emenda Constitucional 115, originalmente apresentada no texto da PEC 17/2019, que insere a proteção aos dados pessoais como um direito fundamental. Pela nova regra, tanto dados em meios físicos quanto em meios digitais serão protegidos pela Constituição Federal.
Proposta de Emenda à Constituição (PEC) é uma atualização, um complemento à Constituição Federal. As PECs podem ser apresentadas pelo presidente da República, por um terço do total de deputados ou senadores, ou por mais da metade das assembleias legislativas. Após aprovação, ela entra na fase de promulgação, em que ela é adicionada a constituição.
Para a advogada e líder do núcleo de DPO do PG Advogados, Mariana Sbaite Gonçalves, a EC 155 irá complementar o direito à privacidade já previsto na Constituição. A especialista cita que, com base no disposto no art. 5º, inciso X, da Constituição Federal de 1998, que fala da manutenção da intimidade e imagem das pessoas, a adição da proteção de dados ao documento faz total sentido.
Ainda segundo a especialista, essa mudança está ligada à entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), que trouxe uma série de mudanças e novas regras para a proteção, gestão, armazenamento e tratamento de dados pessoais e dados pessoais sensíveis dos cidadãos. Por fim, a inclusão da proteção de dados como direito fundamental aumenta a potência dessa garantia, a gravidade do descumprimento e eleva o patamar de possíveis violações chegarem ao crivo do Supremo Tribunal Federal.
A importância de se falar sobre proteção de dados
LGPD foi passo importante para criação da EC 115 e para a proteção de dados como um todo. (Imagem: Canaltech/Felipe Freitas)
Finalizando os comentários sobre a EC 115, Gonçalves afirma que quanto mais se fala no tema de segurança de dados, mais ações serão geradas e a cultura de privacidade será mais difundida no país. Segundo a especialista, a adequação à LGPD pode melhorar a imagem das empresas com seus clientes e demais partes interessadas, além de atrair investidores.
“Os riscos e impactos de possíveis violações ficam mais expressivos. Não basta apenas mapear dados, contratar ferramentas e elaborar documentos, mas sim, compreender a real importância da preservação da privacidade nas relações, fortalecendo, dessa forma, as relações comerciais e a continuidade nos negócios das organizações, bem como a transparência com clientes e titulares de dados pessoais”, finaliza.
Com a pandemia de Covid-19, muitas empresas se viram forçadas a interromper suas operações ou pensar em formas alternativas de continuar trabalhando e mantendo seus colaboradores à salvo. Boa parte das empresas que se depararam com esse tipo de necessidade pela primeira vez optaram por fazer com que seus funcionários trabalhassem remotamente a partir de suas casas e, com isso, muitas incertezas e dúvidas surgiram. Alguns dos principais meios de comunicação do país nos procuraram para respondermos a perguntas como: “trabalhar de casa é realmente seguro?”, “quais os riscos atrelados a isso?”. A resposta mais sincera é: “depende do cenário!”. Essa transformação digital forçada pode fazer com que empresas adotem tecnologias de forma muito rápida e sem o devido amadurecimento, podendo trazer sérios riscos à segurança dos colaboradores e dos dados em si. Neste post, citarei alguns pontos relacionados a criptografia que podem ser aplicados tanto para a LGPD quanto para a segurança das informações em tempos de confinamento forçado.
Para ilustrar, vamos imaginar uma pessoa que precisa trabalhar de casa, ou de qualquer outro local que não seja o ambiente interno da empresa. Para tornar um ambiente cada vez mais seguro é interessante utilizar diversas camadas de proteção para que haja o mínimo de exposição possível de dados sigilosos, e as medidas tomadas para isso envolvem diversos aspectos tecnológicos.
Camadas de proteção
#HTTPS
Tendo em vista nosso exemplo, digamos que todos os colaboradores precisam acessar o principal portal da empresa onde trabalham, seja para abrir seu webmail, ver informações sobre pagamentos e benefícios, ou usufruir de algum serviço disponibilizado pela página. Para que haja mais segurança no quesito comunicação entre o site e os colaboradores, o protocolo HTTPS precisa ser habilitado. O HTTPS fará com que toda a comunicação entre o navegador do colaborador e o portal da empresa seja criptografada, ou seja, se houver algum tipo de interceptação de tráfego, o criminoso não vai conseguir decifrar dados importantes, como, por exemplo, o usuário e a senha utilizados para acessar o portal, dados sigilosos que tal colaborador pode ter acesso, ou até mesmo eventuais arquivos que tenham sido baixados.
#Banco de dados
Uma outra prevenção, agora adotada apenas na parte do servidor, é a criptografia das informações que são salvas no banco de dados.
Quando se começa a lidar com estruturas de bancos de dados sempre surge a dúvida: “mas afinal, o que deve ser mantido criptografado?”. E a resposta que considero mais adequada é que se deve criptografar apenas aquilo que ninguém deverá saber e o que ninguém precisará pesquisar. Tudo que é criptografado não consegue mais fazer parte de uma busca, pois se torna ilegível, ou seja, para um banco de dados que possui informações cadastrais não costuma ser viável a criptografia de nome, sobrenome, endereço e telefone pois eles não poderão ser utilizados como campos localizadores daquele usuário*. Ao invés disso criptografa-se a senha, ou dados de cartão de crédito, por exemplo, para que não seja legível nem mesmo para os administradores que tiverem acesso àquele banco de dados.
*Outras medidas de proteção devem ser tomadas para os dados não criptografados, como restringir adequadamente o acesso a eles, por exemplo.
#VPN
Um outro ponto que aumenta bastante a segurança de um ambiente é não permitir que seus serviços sejam acessados diretamente da Internet. Uma das principais formas de não deixar os serviços expostos é a adoção da VPN, um túnel criptografado que faz com que os usuários consigam acessar todos serviços e servidores como se estivessem dentro da rede. Ou seja, é possível retirar boa parte dos serviços da exposição direta à Internet.
As VPNs que vejo sendo mais utilizadas para esse período de quarentena são as chamadas “Cliente x Servidor”, onde um pequeno software é instalado no computador do colaborador permitindo que, quando necessário, este colaborador abra o software, preencha os dados de usuário e senha fornecidos pela empresa, e se conecte ao ambiente de forma remota, permitindo o acesso a tudo* o que estiver disponível dentro da empresa, mas sem a necessidade de estar fisicamente lá.
*Os acessos são concedidos mediante a criação prévia de regras.
#Cripto de HD
Quando tratamos de dispositivos empresariais esse tipo de criptografia deve ser uma iniciativa da empresa, pois é ela que deve gerenciar todo o processo de adequação e inserção de chaves, no entanto essa tecnologia costuma ser amplamente utilizada pelos colaboradores.
A criptografia completa do disco consiste em transformar o HD em um container seguro, fazendo com que ele só seja acessado após o preenchimento correto da senha que foi previamente definida. Isso traz uma camada adicional de segurança física às empresas e pessoas pois, caso o dispositivo seja roubado e o HD inserido em outro computador para o roubo de dados, essas informação estarão adequadamente protegidas.
Existem outros meios para a segurança física de dispositivos com o intuito de impedir que eles sejam subtraídos, como por exemplo lock cables, a criptografia inibe apenas o acesso aos dados, não ao dispositivo em si.
#Transferência de arquivos (zip com senha)
Também costuma ser uma necessidade comum entre pessoas e empresas a transferência de arquivos restritos, ou algumas vezes até confidenciais, mas nem sempre elas dispõem de uma forma adequada para fazer essa transferência. Se não houver um local previamente definido para transferência destes arquivos onde tudo ocorrerá de forma segura e autenticada, pode-se considerar como alternativa a criptografia destes arquivos e pastas a serem enviadas. Esta criptografia pode ser feita de diversas formas, incluindo criptografia com compactação de arquivos como, por exemplo, o 7-zip. Basta compactar os arquivos especificando uma senha, que seja preferencialmente longa e complexa o suficiente para não ser adivinhada, e transferir o novo arquivo à pessoa ou departamento que deverá recebê-lo.
Um ponto importante sobre essa prática é nunca enviar o arquivo criptografado e a senha pelo mesmo meio, pois se o meio estiver comprometido o criminoso terá a faca e o queijo nas mãos.
Caso mande o arquivo por e-mail, passe a senha por WhatsApp, se o arquivo for enviado pelo WhatsApp a senha pode ser passada via telefone, o mais importante é sempre usar meios diferentes para mandar arquivo e senha.
#WiFi seguro
Assim como nas empresas, existem várias formas de deixar uma rede doméstica mais segura. Uma das formas que os usuários podem se apoiar é utilizar criptografia para conexão na rede Wifi. Algumas pessoas consideram mais prático ter um WiFi sem senha, e isso é um erro gravíssimo no quesito segurança. Se não há uma senha configurada no wifi qualquer pessoa nas proximidades poderá fazer parte da sua rede. Isso por si só já é ruim, pois haverá uma menor qualidade de Internet disponível para o proprietário do link, mas pode se tornar ainda pior se o intruso for um criminoso, que pode atacar dispositivos IoT, tentar descobrir senhas e até instalar softwares dentro dos computadores e smartphones da rede. Habilitar a configuração segura de redes WiFi, utilizando-se de WPA2 ou 3 e atribuindo uma chave de acesso longa e complexa costuma ser uma tarefa simples, e pode evitar uma série de transtornos.
Como citei anteriormente, as tecnologias apresentadas não visam apenas a adequação à LGPD, e sim a melhora da segurança do ambiente como um todo. Ainda assim sabemos que o ponto principal da lei que entrará em vigor é a proteção de dados, e a criptografia é certamente uma das ferramentas que pode auxiliar no endereçamento dessa árdua tarefa.
Há muitas formas de abordagem, analise seu ambiente e veja qual melhor se adequa ao momento atual da sua empresa, aproveite que alguns meses a mais foram dados de prazo e não deixe de adiantar os assuntos referentes às adequações da lei.