The President

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

Dados

em resguardo

ENTREVISTA

Dados em resguardo

Aline Deparis, CEO da Privacy Tools, fala sobre a evolução do mercado e estratégias para adequações à Lei Geral de Proteção de Dados, que completa 4 anos em 2024

No ano em que completa quatro anos, a Lei Geral de Proteção de Dados (LGPD) continua a ser um tema de extrema relevância para empresas e sociedade no Brasil. Desde sua implementação, a legislação tem sido amplamente discutida, levando as empresas a investirem em profissionais e tecnologias voltadas para a conformidade com a LGPD.

Segundo pesquisa da TIC Provedores, 40% das empresas brasileiras já possuem setores exclusivos dedicados à proteção de dados. As penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) reforçam a importância da conformidade, com a primeira multa administrativa sendo aplicada no ano passado contra uma empresa de telemarketing por uso inadequado de dados. Em meio a isso, o Dia Internacional da Proteção de Dados destaca a necessidade de uma abordagem holística, englobando não apenas a segurança dos dados dos clientes, mas toda a complexa rede empresarial.

Aline Deparis, CEO da Privacy Tools, enfatiza que a conscientização e a educação são fundamentais para garantir a preservação e o respeito aos dados em todos os aspectos do negócio. Com a ANPD intensificando as fiscalizações, a conformidade com a LGPD torna-se ainda mais crucial. Leia uma entrevista completa com Deparis sobre a temática abaixo.

retratosprivacy-tools_rodrigowblum-32 (1)

THE PRESIDENT - Como o mercado brasileiro tem respondido à LGPD nos últimos quatro anos, e quais são os desafios enfrentados pelas empresas nesse processo?

Aline Deparis – O mercado passou por diversas fases em relação à LGPD. No início, existia o ceticismo em relação às sanções impostas pela autoridade nacional de proteção de dados e ao longo do tempo, houve uma evolução no entendimento, destacando a importância das empresas em proteger os dados pessoais dos titulares que fazem parte da rede da empresa. Hoje, vejo uma crescente mobilização para educar as pessoas sobre o assunto, o que é muito importante.

Muitas empresas enfrentam problemas de orçamento e de convencimento da alta administração para projetos desse tipo. Mesmo com a segurança da informação, um tipo de investimento obrigatório para qualquer negócio, enfrenta dificuldades de priorização e orçamento, imagine uma adequação regulatória ainda recente?

Por isso, aumentar a conscientização sobre a importância da proteção de dados é ainda um desafio significativo, seja para o grande público ou para a administração das empresas.

Quais devem ser as principais estratégias adotadas por empresas na gestão da privacidade?

Priorizar a prevenção e a transparências deve estar no topo das principais estratégias, mas como fazer isso? Criando uma cultura de privacidade dentro da empresa, conscientizando os colaboradores sobre a importância da proteção de dados, adotando uma abordagem proativa na gestão de riscos à privacidade, realizando regularmente avaliações de segurança, informando claramente aos titulares de dados sobre como os seus dados estão sendo coletados, usados e compartilhados.

Outra estratégia é adotar medidas fortes de segurança, como criptografia, plano de resposta a incidentes, mas principalmente, fortalecer a comunicação e oferecer treinamentos aos colaboradores para que desde o momento que o colaborador ingresse na empresa, ele já tenha consciência sobre a importância da privacidade e da proteção de dados.

Uma prática que pode ajudar as empresas na adequação é criar um processo de validação da necessidade em cada local que recebe dados de pessoas na sua empresa. Só em fazer a pergunta “Porque eu preciso desse dado, até quando vou usá-lo e como justificar a sua coleta?” você vai notar que a maioria dos dados de pessoas que você busca, não tem nenhuma serventia ou se tem ela ainda não existe.

A Privacy Tools planeja lançar uma IA para auxiliar neste processo? Como ela funcionará?

A Privacy Tools possui a primeira IA para gestão da privacidade que apoia as empresas a automatizar seus processos como análise de risco, respostas de pedidos de titulares, avaliação de ESG, revisão de políticas, entre outros.

Especialmente a IA Generativa pode ajudar demais no trabalho de governança que possui muita geração de documentos e análise de conteúdo, mas é necessário que a IA usada seja segura o suficiente para evitar usar dados de clientes para treinamento de modelos gerando risco para a privacidade.

O conceito de LGPD já foi adotado pela maioria das grandes empresas, mas ainda é um conceito longínquo para companhias menores. Quais são os primeiros passos que elas devem seguir na adoção e adequação às normas?

Antes de mais nada é importante entender a importância do que está por trás da LGPD.  Antes da lei, não existiam regras específicas de proteção de dados, porque vivíamos outro momento. Mas agora, existe a legislação e a LGPD é focada em regulamentar o tratamento de dados pessoais. E se engana quem acha que só empresas grandes realizam tratamento de dados. Quando uma empresa recebe qualquer dado pessoal, ela está automaticamente realizando o tratamento de dados, seja ela uma empresa grande ou pequena. Por isso, um dos primeiros passos é entender o que a lei exige, como ela se aplica a sua empresa. Nesse caso, tem o site da ANPD onde é possível encontrar todas as informações necessárias. Após isso, é o momento de a empresa mapear os dados pessoais que existem em seus bancos de dados, definir as bases legais para o tratamento de dados, criar políticas e procedimentos e assim por diante.

O processo segue muito parecido para empresas de grande e pequeno porte e por isso, estar a par do que a lei exige é indispensável.

Além disso, as empresas maiores têm a obrigação de exigir que seus fornecedores, que são responsáveis pelo tratamento de dados, estejam adequados à LGPD. Então, se você presta serviço para uma grande empresa, ou presta serviço para quem atende grandes empresas, pode ter certeza que a sua maturidade em segurança da informação e proteção de dados será levada em consideração na hora de disputar preço com o seu concorrente.

Os golpes que envolvem vazamento de dados nunca estiveram tão em voga, mesmo após quatro anos da LGPD. O usuário tem como saber de onde seus dados foram vazados? De que forma ele pode se proteger? Como denunciar?

Primeiro, em caso de qualquer incidente de segurança envolvendo dados pessoais que atendam os critérios de notificação, a empresa responsável deve prontamente notificar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados afetados. Ou seja, pela lei, o usuário, vulgo titular de dados, deve ser informado que seus dados foram vazados, a depender dos critérios estabelecidos pela norma.

Mas agora suponhamos que o usuário tenha suspeitas que os seus dados foram vazados. Nesse caso, ele tem o direito de registrar uma denúncia diretamente no site da ANPD, utilizando o canal de denúncias disponível seguindo as orientações fornecidas, caso não tenha conseguido resolver o problema diretamente com a empresa.

A melhor forma do usuário se proteger contra possíveis vazamentos é tomando cuidado ao compartilhar dados pessoais, onde compartilha, como e com quem compartilha. E claro, ficar em cima das empresas para entender de fato como os seus dados estão sendo tratados e por qual finalidade são coletados.

Uma prática que eu uso muito são os apelidos em endereços de email. Por exemplo, se o seu email for joaozinho@gmail.com e você quiser se cadastrar no site da Nike, você usa joaozinho+nike@gmail.com então se esse email for usado para outros fins, você sabe de onde vazou. Esse recurso de apelidos não é suportado por todos os sistemas de email, você precisa ver com o seu como funciona, mas ajuda bastante.

SC-275

O que uma empresa deve fazer quando descobre algum tipo de vazamento de dados? Como prevenir isso?

Quando uma empresa descobre um incidente de segurança envolvendo dados, ela deve imediatamente verificar se esse incidente prejudica de alguma forma os titulares desses dados. No caso de vazamento, a resposta sempre vai ser “sim”, afinal, são dados pessoais que estão sendo expostos, tanto publicamente, quanto para terceiros. A partir disso, como falei na pergunta anterior, a empresa deve comunicar a Autoridade Nacional de Proteção de Dados sobre o vazamento e consequentemente, aos titulares prejudicados. Revise os critérios de comunicação de incidente pois nem tudo precisa ser reportado. Depois de comunicar para a ANPD, eles avaliam a gravidade e podem determinar a adoção de algumas medidas como a publicização do ocorrido em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

E como os nossos pais e avós dizem, é melhor prevenir do que remediar. Nesse caso, é importante que as empresas invistam em ferramentas de prevenção, que mantenham os seus sistemas e softwares atualizados, façam análise de vulnerabilidade frequente, promovam campanhas de conscientização e treinamentos para os colaboradores sobre como reconhecer ameaças, como é o caso comum do phishing, além da conscientização sobre não compartilharem dados pessoais em ferramentas de inteligência artificial generativa, como é o caso do chatGPT.

De que forma o advento e o maior uso da Inteligência Artificial pelo público comum compromete ou não a proteção de dados?

Eu vejo as tecnologias de inteligência artificial como mecanismos para acelerar rotinas de trabalho e que podem ajudar demais a sociedade em todos os níveis.

É claro que, independente da ferramenta e de quem a utiliza, é necessário tomar alguns cuidados quanto à exposição de dados sigilosos, dados pessoais, dados pessoais sensíveis nessas ferramentas.

Por exemplo: Eu Aline, preciso organizar alguns dados da minha empresa em ordem alfabética. Esse trabalho certamente uma ferramenta de IA como o chatGPT consegue fazer, mas se eu colocasse esses dados ali, eu estaria compartilhando dados pessoais com uma ferramenta externa, o que provavelmente não está de acordo com a finalidade pela qual aqueles dados foram coletados e precisam ser tratados. Só a minha ação já é ilegal, mas se acontecer algum vazamento de dados decorrente dessa ação pode ser ainda mais grave.

Então esse cuidado é extremamente necessário, não só na utilização do chatGPT, mas de todos os tipos de tecnologias em que temos que fornecer algum tipo de informação em troca de outra. E da mesma forma se um usuário “comum”, utilizar essas ferramentas e incluir nelas dados como seu CPF, nome completo, endereço, e-mail, etc. Esse usuário vai estar indo contra as boas práticas de proteção de dados e está colocando em risco sua própria privacidade.

Por isso, repito e bato sempre na tecla de que a educação e a conscientização sobre proteção de dados são de extrema importância.

E pelo lado das fornecedoras de inteligência artificial, como o ChatGPT, de que forma eles garantem o não-vazamento de dados e informações?

Tanto o chatGPT, quanto outras ferramentas de IA foram projetadas para oferecer uma experiência de conversação humana e natural e como qualquer outra tecnologia, existem os riscos. No caso do chatGPT já houve um vazamento de dados anteriormente, e essa vulnerabilidade fez com que a OpenAi, a empresa por trás do modelo de linguagem do ChatGPT adotasse políticas de privacidade onde informam que eles não solicitam dados pessoais e garantem que os dados dos usuários não são compartilhados com terceiros sem consentimento prévio, além de outras técnicas que eles informaram adotar.

Importante reforçar que a tecnologia de IA Generativa não é igual o Google que guarda cópia dos dados. O que ela gera como texto é o resultado de cálculos matemáticos probabilísticos de alta capacidade criado a partir de gigantescos volumes de dados, mas não necessariamente esses dados existem quando você faz uma pergunta para o chatGPT.

Por exemplo, se você perguntar “Qual o nome da CEO da Privacy Tools, a melhor plataforma de gestão da privacidade?”, ele vai lhe responder “Aline deparis”, mas ele não possui “aline deparis” salvo em seu banco de dados, ele gerou essa resposta após analisar matematicamente a probabilidade desse texto fazer sentido para o contexto da pergunta. Logo, ele possui a capacidade de gerar dados pessoais, mas ele não mantém cópia dos dados pessoais. Difícil né? Imagine como regulamentar!

Mas Aline, isso é suficiente para que os dados não sejam vazados? É claro que não. A segurança digital é também uma via de mão dupla, a privacidade e a proteção de dados não dependem só das tecnologias, mas também do comportamento do usuário. Ou seja, a cibersegurança é uma responsabilidade de todos nós e novamente eu entro na máxima da importância da educação, do conhecimento e do entendimento sobre a proteção de dados.