O tema desse artigo é a LGPD – Lei Geral de Proteção de Dados Pessoais – que dispõe sobre o tratamento de dados pessoais, sejam físicos ou digitais, por pessoa natural ou jurídica de direito público ou privado. A LGPD, lei nº 13.709, de 14 de agosto de 2018, está em vigência desde o dia 18 de setembro de 2020.
Diante desse cenário, devemos fazer as seguintes reflexões:
- Os empresários e empreendedores em geral já estão preparados para atender as exigências dessa nova lei?
- É possível garantir aos cidadãos que seus dados não estão sendo usados de forma indiscriminada?
A LGPD é uma lei que exige metodologias específicas para lidar com os dados pessoais dos cidadãos. Sendo assim, afeta diretamente todas as instituições, sejam públicas ou privadas, visto que é necessário armazenar dados pessoais de todos os envolvidos no ambiente de trabalho (colaboradores, fornecedores, clientes e consumidores).
Mas, no cotidiano não temos o hábito de nos preocuparmos com nossos dados pessoais. Seja em redes sociais, em grupos de discussão, aplicativos ou em um simples cartaz escrito à mão, estamos compartilhando informações, que são valiosas e dizem muito a nosso respeito.
A introdução dessa lei vai demandar maior atenção em segurança dos dados que são armazenados. De acordo com [ELMASRI; NAVATHE, 2011] um problema de segurança comum aos sistemas de computação é o de impedir que pessoas não autorizadas acessem o próprio sistema, seja para obter informações ou para fazer mudanças maliciosas em uma parte do banco de dados.
Assim, partimos da hipótese de que investir em formação e conscientização da população sobre a importância dos dados gerados nas instituições é um dos meios efetivos de proteger os mesmos. O principal objetivo desse artigo é explorar os elementos que envolvem a segurança dos dados e propor meios de implantar uma cultura de proteção de dados no ambiente de trabalho.
Para alcançar esses objetivos propostos, vamos utilizar como metodologia a pesquisa bibliográfica de material já publicado na literatura de tecnologia da informação e em artigos eletrônicos da esfera jurídica.
Um Mundo de Dados
Com o advento da Internet foi possível conectar, em redes, os computadores do mundo todo. Além de facilitar a comunicação e interação entre as pessoas, também observamos que ao longo dos últimos trinta anos uma imensa quantidade de dados foi gerada nesse meio. Os dados na Internet dizem respeito a tudo o que fazemos, seja no mundo real ou no mundo virtual.
Fazemos cadastros em diversos sistemas; postamos imagens, vídeos, áudios em redes sociais; utilizamos serviços de streaming[1]; fazemos transações bancárias; jogamos diversas modalidades de jogos e etc. Todas essas atividades geram dados que ficam armazenados em banco de dados. Através desses bancos de dados podemos extrair informações valiosas sobre a vida e comportamento das pessoas. Por isso, vivemos em uma época que os dados são muito disputados por empresas, pois aqueles que sabem utilizá-los e até mesmo manipulá-los têm muita vantagem competitiva. Além das empresas, os dados na Internet também são muito visados por criminosos que vendem os dados usurpados de sistemas com vulnerabilidades de segurança.
Na tabela 1 podemos observar como nos últimos anos aconteceram grandes vazamentos de dados na Internet. Apesar desses eventos terem sido revelados no ano de 2018, algumas dessas invasões ocorreram em anos anteriores. É preocupante para os afetados a demora em se divulgar essas violações diante da gravidade da exposição de informações pessoais.
Dos casos listados na tabela 1, o mais enfático é do Facebook. A empresa Cambridge Analytica foi acusada de coletar dados dos usuários do Facebook sem o consentimento dos mesmos. Investigações posteriores confirmaram que os dados adquiridos ilegalmente foram utilizados para influenciar os resultados da campanha presidencial americana do ano de 2016 (THE GUARDIAN, 2018).
Diante de tantos riscos de violação dos dados de pessoas e empresas e de seu uso indevido, foi urgentemente necessário que os países providenciassem novas e mais rígidas legislações para assegurar que os detentores de dados de terceiros se responsabilizem pela segurança dos mesmos.
No Brasil foi criada a Lei Geral de Proteção de Dados Pessoais no ano de 2018 influenciada por todos os escândalos de vazamento de dados ocorridos no mundo e inspirada pela GDPR (General Data Protection Regulation[2]) da Europa.
A lei brasileira está em vigor desde 18 de setembro de 2020. É preciso que os empreendedores estejam conscientes das mudanças que serão necessárias para estarem em conformidade com a LGPD.
Tabela 1: Vazamentos de dados divulgados em 2018.
Alvo | Afetados | Dados Expostos |
Newegg | 50 milhões de compradores online da Newegg | Informações de cartão de crédito. |
Elasticsearch | 82 milhões (57 milhões de clientes, 26 milhões de empresas). | De pessoas físicas: nomes, endereços de e-mail e físico, números de telefone, endereços IP, empregadores e cargos. De empresas: nomes, informações da empresa, CEPs, rotas de transportadores, latitudes/longitudes, traços de censo, números de telefone, endereços web, endereços de e-mail, total de funcionários, números de receita, códigos NAICS e códigos SIC. |
87 milhões de usuários do Facebook. | Informações de perfil, crenças políticas, redes de amigos, mensagens privadas. | |
MyHeritage | 92 milhões de usuários do MyHeritage. | Endereços de e-mail e senhas. |
Quora | 100 milhões de usuários do Quora. | Nomes, endereços de e-mail, senhas, dados de perfil, ações públicas e privadas. |
Under Armour | 150 milhões de usuários do MyFitnessPal. | Nomes de usuário, endereços de e-mail e senhas. |
Exactis | 340 milhões (230 milhões de clientes, 110 milhões de empresas). | Mais de 400 categorias de informações, como números de telefone, endereços de e-mail e físicos, interesses, idades, religiões e propriedade de animais de estimação. |
Starwood | 500 milhões de hóspedes do Starwood. | Nomes, endereços de e-mail e físicos, números de telefone, números de passaporte, informações de conta, datas de nascimento, gênero, informações de viagem e informações de acomodação, informações de cartão de crédito. |
Aadhaar | 1,1 bilhão de cidadãos indianos. | Números do Aadhaar, nomes, endereços de e-mail e físicos, números de telefone e fotos. |
FONTE: Adaptado de (HRON, 2019)
Os Bancos de Dados
Neste artigo definimos dado como os valores fisicamente registrados em um banco de dados. (ELMASRI; NAVATHE, 2011) definem os dados como fatos conhecidos que podem ser registrados e possuem significado implícito. Os dados podem estar armazenados em diversos meios, como em livros-caixa, agendas, disco rígido de um computador, pen-drive, DVDs etc.
Na tabela 2 observamos que para o atributo nome temos o dado Luísa e para o atributo Nascimento temos o dado 01/01/1975. Esses dados isolados não tem significado. Mas ao analisarmos o registro de Luísa podemos descobrir que ela tem 46 anos e tem um número de telefone registrado no estado de São Paulo.
Tabela 2. Exemplo de registro em banco de dados.
Código | Nome | Endereço | Nascimento | Telefone | Altura |
1 | Luísa | Rua Sol, 45 | 01/01/1975 | (11) 1111-1111 | 1,56 |
FONTE: O autor (2020).
Assim conseguimos dizer que informação é o significado dos valores que podemos extrair de um banco de dados para um determinado fim. É possível fazer uma pesquisa de mercado verificando a quantidade de mulheres na faixa etária de Luísa e que moram na mesma região. De posse dessa informação, diferentes decisões podem ser tomadas.
(ELMASRI; NAVATHE, 2011) descrevem um banco de dados como uma coleção de dados relacionados que tem as seguintes propriedades:
- Tem alguma fonte da qual o dado é derivado;
- Tem algum grau de interação com eventos do mundo real;
- E tem um público que está ativamente interessado em seu conteúdo.
Em ambientes computadorizados é utilizado um Sistema Gerenciador de Banco de Dados (SGBD) que é uma coleção de programas que permite aos usuários criar e manter um banco de dados. É um software que facilita o processo de definição, construção, manipulação e compartilhamento de bancos de dados entre diversos usuários e aplicações (ELMASRI; NAVATHE, 2011).
(DATE, 1984) simplifica afirmando que um SGBD é um sistema cujo objetivo global é registrar e manter informação. Um sistema de banco de dados envolve quatro componentes: dados, hardware, software e usuários (DATE, 1984). Como ilustra a figura 1, os usuários utilizam softwares para acessar os dados que estão armazenados em um hardware.
Cabe ressaltar que é função do sistema gerenciador de banco de dados incluir meios de proteção contra falhas no hardware e software, e proteção de segurança à acesso não autorizado ou malicioso.
Como os bancos de dados estão inseridos na maioria das atividades da sociedade é primordial investir na segurança dos mesmos.
Em (ELMASRI; NAVATHE, 2011) é descrito que a segurança de banco de dados tenta resolver muitos problemas, entre eles destacamos:
- Questões legais e éticas com relação ao direito de acessar certas informações;
- Questões políticas em nível governamental, institucional ou corporativo quanto aos tipos de informações que não devem se tornar públicas, como exemplo registros médicos.
É necessário que as instituições tenham um responsável pela administração dos bancos de dados ou terceirizem essa responsabilidade para garantir que medidas de proteção estejam sendo aplicadas ao banco de dados da organização.
As medidas de proteção mais adotadas são a autenticação de usuários, criptografia dos dados, controle de acesso, políticas de firewall e detecção de intrusão.
Como observado, a proteção de um banco de dados requer muito esforço e mesmo assim não é possível garantir que não ocorrerão invasões ou vazamentos dos dados. Considerando que os sistemas de banco de dados estão conectados à Internet e que nossos dados possam ser acessados de qualquer lugar do mundo, é de fundamental importância que todos estejam atentos a como estão expondo seus dados e que medidas de proteção podem ser aplicadas no cotidiano.
[1]Serviço de transmissão de conteúdo multimídia através da Internet. Ex.: Netflix
[2]Lei Geral de Proteção de Dados válida na Europa. Criada em 2016 e em vigência desde 25 de Maio de 2018 (INTERSOFT CONSULTING, 2018).