EMPRESA DE PESQUISA
AGROPECUÁRIA DE MINAS GERAIS

No nosso dia a dia sempre passamos por ocasiões em que nos é solicitado o fornecimento de nossos dados pessoais. Seja numa farmácia, supermercado, posto de gasolina, quando nos solicitam o número de CPF para colocar na nota fiscal, compras através de telemarketing, quando empresas de tv a cabo nos oferecem adesões, mudanças de pacotes, promoções, até mesmo em compras pela internet, onde fornecemos nossos dados para efetivação da compra.

Mesmo quando visitamos sites na internet somos avisados superficialmente de que aquela Empresa utiliza os chamados “cookies”, onde são coletados dados do que você pesquisa, produtos e serviços os quais são visitados pro você, ficando ali registrado o IP de seu computador, gostos, preferências e necessidades.

Estes dados ficam em poder dessas empresas e sequer sabemos como estes dados são processados, armazenados e quem são as pessoas que os manipulam.

Milhares de Empresas coletam dados de seus clientes, ou clientes em potencial. Quando compramos produtos ou contratamos serviços através da internet, ou mesmo por telemarketing fornecemos nossos dados pessoais e estes ficam armazenados nos bancos de dados destas empresas. Muitas Grandes empresas são administradas por uma “holding”, ou seja, empresa que possui a maioria das ações de outras empresas, e que compartilham os dados coletados, na expectativa da captação de novos clientes, divulgações e vendas. É por isso que quando fazemos uma pesquisa de determinado produto na internet, imediatamente passamos a receber diversas ofertas daquele produto por diversas empresas. Nossos dados pessoais são solicitados em diversos momentos, contratação de serviços de telefonia, contratação de Planos de Saúde, inclusive para ter acesso a serviços públicos, cumprimento de obrigações legais (Ex.: Declaração de Imposto de Renda, acesso ao fornecimento de luz, água, atendimento no serviço público de saúde, etc.)

LGPD é a sigla utilizada para designar Lei Geral de Proteção de Dados. O governo federal aprovou a lei nº 13.709, de 14/08/2018, modificada pela Lei 13.853 de 08/07/2019, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

A LGPD foi criada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados

Você sabia que para se iniciar o tratamento de dados pessoais é fundamental garantir que os princípios da LGPD sejam respeitados?
Os princípios da LGPD são citados conforme o art. 6º da Lei nº 13.709/2018, bem como a boa-fé:

1 Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

2 Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

4. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

5. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

10. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ao considerar os princípios estabelecidos pela lei, a organização demonstrará que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, seguros e atendem uma finalidade válida.

 

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

1. 1. Conscientização e capacitação

      Independentemente da quantidade de funcionários, cada um deles precisa estar ciente sobre a LGPD: é necessário entender suas implicações e, eventualmente, como lidar com os dados. Esse resultado pode ser atingido de diversas formas, por exemplo, reuniões, campanhas internas de conscientização e treinamentos costumam ser abordagens bem eficientes.

 

1. 1. Estabelecimento de políticas de segurança de dados

      Revisar toda e qualquer política que tenha como intuito a proteção de dados é algo que considero essencial. As políticas devem refletir a nova realidade de tratamento de dados, podendo conter informações sobre as pessoas responsáveis, formas de armazenamento e eliminação dos dados que devem ser adotadas, e claro, quem pode ter acesso legítimo a eles.

 

1. 1. Firewall

      Uma das soluções mais básicas de segurança e que deveria fazer parte de todo e qualquer ambiente. As versões mais tradicionais de firewall baseiam suas regras em IPs e portas, e têm papel essencial na proteção do entorno de rede. O firewall permite proteger as informações através do monitoramento e da restrição de IPs maliciosos que estejam tentando se comunicar com a rede ou impedindo que usuários internos tenham acesso a endereços maliciosos na Internet.

 

1. 1. Múltiplo fator de autenticação (senhas)

      Temos visto que ataques de Brute Force contra servidos RDP têm aumentado nos últimos tempos, mas esse tipo de ataque sempre foi muito comum. O Bruce Force, também conhecido como Força Bruta, consiste em tentar adivinhar a senha de um usuário baseado em tentativa e erro. Claro que quanto mais simples for a senha da vítima, mais fácil e rápido será o processo para que os cibercriminosos possam comprometer o ambiente. Uma das formas para barrar esse acesso é adicionar um fator à autenticação, como, por exemplo, uma senha temporária gerada em um app que o usuário tenha. Dessa forma, além da senha do usuário em si, o criminoso precisaria desse token para realmente acessar o ambiente, tornando-o bem mais seguro mesmo em casos de vazamentos de senhas.

      Também é possível adotar uma política de uso de senhas complexas e impor uma adequação a todos os usuários, sem exceção. Mesmo não sendo uma camada adicional de proteção e apesar de não evitar o comprometimento de informações em caso de vazamentos, aumentar a complexidade da senha auxilia a atrasar o processo de Brute Force dos criminosos – podendo até tornar o ataque inviável, dependendo do tempo que o criminoso levar para descobrir a senha.

 

1. 1. DLP

      Os Data Loss Prevention, que em tradução livre significa Prevenção contra Vazamento de Dados, como o nome sugere, impedem que os dados mais importantes para a empresa não sejam trafegados sem o devido consentimento. Eles podem impedir que, por exemplo, determinados arquivos sejam enviados para um pendrive ou HD externo, que informações sejam coladas em e-mails, ou que determinados tipos de dados sejam carregados em formulários na Internet. As aplicações desse tipo de ferramenta diminuem drasticamente a chance de exposição dos dados sigilosos de forma intencional ou acidental.

 

1. 1. Proteção física e Criptografia

      Agora lidando com a parte concreta dos dados, o primeiro conceito visa proteger fisicamente o lugar onde as informações sensíveis estão armazenadas, a fim de evitar que sejam comprometidas. A proteção física pode ter muitas abordagens, desde uma porta que impeça que curiosos acessem os computadores principais ou servidores, até proteção perimetral envolvendo câmeras de segurança, catracas, controle biométrico e uma série de outros dispositivos. Todos os recursos empregados têm somente um destino, garantir acesso aos meios físicos somente à pessoas autorizadas.

      Como nenhuma das soluções de segurança é a prova de falhas, a proteção física não é exceção. Caso um criminoso consiga ter acesso às mídias físicas que contém os dados sigilosos, elas também devem estar adequadamente protegidas por meio de criptografia, para que mesmo que os criminosos tentem o acesso lógico aos dados, eles sejam impedidos pela necessidade de senha exigida para descriptografá-los.

      Nessa parte de criptografia, me referi especificamente a criptografia de HDs, mas também é possível adotá-la em outros momentos, como, por exemplo, na criptografia de informações armazenadas em banco de dados, criptografia de comunicação de um formulário web, utilização de túnel seguro para acesso a determinados serviços e em diversos outros pontos.

      (https://www.welivesecurity.com/br/2020/09/22/8-ferramentas-de-adequacao-a-lei-geral-de-protecao-de-dados-lgpd/)

 

1. 1. Anonimização de Dados

      A anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. Essa técnica resulta em dados anonimizados, que não podem ser associados a nenhum indivíduo específico.

 

1. Outras soluções da Tecnologia da Informação

   Existem sistemas e aplicativos cujo objetivo é proteger dados armazenados em redes de informática que podem ser utilizados para este fim.

Também chamada de termos e condições de segurança por alguns sites, a política de privacidade refere-se às práticas e processos adotadas por um site, app, ou outro tipo de provedor de aplicação para tornar transparente sua relação com o usuário.

Basicamente, ela informa ao usuário todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais.
Normalmente, esses sites e provedores de aplicação pedem que o usuário, ao preencher seu cadastro, ou iniciar o uso da plataforma, demonstre seu expresso consentimento e concordância com esses termos.

É uma maneira não apenas de informar ao usuário o que será feito com seus dados, como também isentar o provedor de qualquer responsabilidade decorrente da falta de consentimento.
(https://rockcontent.com/br/blog/politica-de-privacidade/)

Compartilhamento de informações: as informações coletadas pelos cookies podem ser indevidamente compartilhadas com outros sites e afetar a sua privacidade. Não é incomum, por exemplo, acessar pela primeira vez um site de música e observar que as ofertas de CDs para o seu gênero musical preferido já estão disponíveis, sem que você tenha feito qualquer tipo de escolha.

Exploração de vulnerabilidades: quando você acessa uma página Web, o seu navegador disponibiliza uma série de informações sobre o seu computador, como hardware, sistema operacional e programas instalados. Os cookies podem ser utilizados para manter referências contendo estas informações e usá-las para explorar possíveis vulnerabilidades em seu computador.

Autenticação automática: ao usar opções como "Lembre-se de mim" e "Continuar conectado" nos sites visitados, informações sobre a sua conta de usuário são gravadas em cookies e usadas em autenticações futuras. Esta prática pode ser arriscada quando usada em computadores infectados ou de terceiros, pois os cookies podem ser coletados e permitirem que outras pessoas se autentiquem como você.

Coleta de informações pessoais: dados preenchidos por você em formulários Web também podem ser gravados em cookies, coletados por atacantes ou códigos maliciosos e indevidamente acessados, caso não estejam criptografados.

Coleta de hábitos de navegação: quando você acessa diferentes sites onde são usados cookies de terceiros, pertencentes a uma mesma empresa de publicidade, é possível a esta empresa determinar seus hábitos de navegação e, assim, comprometer a sua privacidade.

(https://cartilha.cert.br/riscos/)

A Diretoria Executiva da Empresa de Pesquisa Agropecuária de Minas Gerais instituiu uma Comissão Especial, com o objetivo de promover a implementação das disposições da Lei Federal nº 13.709, de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), no âmbito da EPAMIG.
A Comissão LGPD da EPAMIG após um período de estudos e compreensão da LGPD estruturou seus trabalhos em 4 Pilares: • Ações informativas: Publicidade, campanhas informativas, cartilhas, conscientização do corpo gerencial e colaboradores...

• Ações de orientação Internas: canal de atendimento, termos internos, normativos, treinamentos, aplicação de diagnósticos maturidade e cultural...
• Mapeamento das informações: inventário de dados, relatórios de impacto, gestão de risco, impacto, monitoramento de indicadores...
• Segurança/TI: Política de privacidade, termo de uso atualização das cláusulas dos instrumentos jurídicos, ferramentas de segurança...

Com base nos pilares estabelecidos a referida comissão estabeleceu uma Plano de Trabalho com propostas de ações que vem contribuir para a implantação de medidas que atendam as conformidades da LGPD, que podem acontecer de formas concomitantes ou não. Atualmente as ações estão sendo implantadas conforme as orientações das fases do Grupo de Trabalho do Estado de Minas Gerais sobre LGPD