{"id":2203,"date":"2018-11-05T00:00:00","date_gmt":"2018-11-05T00:00:00","guid":{"rendered":"https:\/\/www.cesar.org.br\/painel\/insight\/dados-sao-o-novo-petroleo-quao-segura-esta-essa-nova-riqueza\/"},"modified":"2026-03-25T13:16:20","modified_gmt":"2026-03-25T16:16:20","slug":"dados-sao-o-novo-petroleo-quao-segura-esta-essa-nova-riqueza","status":"publish","type":"insight","link":"https:\/\/www.cesar.org.br\/painel\/insight\/dados-sao-o-novo-petroleo-quao-segura-esta-essa-nova-riqueza\/","title":{"rendered":"Dados s\u00e3o o novo petr\u00f3leo. Qu\u00e3o segura est\u00e1 essa nova riqueza?"},"content":{"rendered":"
\n
\n

Muitas empresas tendem a enxergar o\u00a0compliance\u00a0<\/em>apenas como um \u201ccusto adicional\u201d\u200a\u2014\u200aquando deveria ser visto como algo que efetivamente traz retorno financeiro e de imagem perante o mercado e os consumidores, sem esquecer que evita exposi\u00e7\u00f5es legais.<\/cite><\/p><\/blockquote>\n

por\u00a0<\/em>Carlos Sampaio<\/em><\/strong><\/p>\n

\u201cDados s\u00e3o o novo petr\u00f3leo\u201d<\/a>. Esta express\u00e3o refere-se \u00e0 forma de minera\u00e7\u00e3o de riquezas informacionais a partir da coleta e an\u00e1lise de massivas quantidades de dados. Seguindo essa linha de analogia, os dados v\u00eam se tornando at\u00e9 mais interessantes do que o petr\u00f3leo, uma vez que virtualmente ao contr\u00e1rio deste, nunca se esgotam e assistimos com o passar do tempo cada vez mais o custo de toda a cadeia de processamento, desde a coleta at\u00e9 o descarte, vir diminuindo. E de quem s\u00e3o esses dados? S\u00e3o dados sobre cada um de n\u00f3s, sobre nossos h\u00e1bitos de vestir, de andar, de comprar. Dados fornecidos despretensiosamente, por n\u00f3s mesmos, ou por outros, ao aceitar sem ler os Termos e Condi\u00e7\u00f5es ou Pol\u00edtica de Privacidade de um aplicativo \u201cgratuito\u201d baixado no celular, mas tamb\u00e9m dados capturados ou inferidos a partir de outros servi\u00e7os ou dispositivos, que talvez nem tenhamos id\u00e9ia que estejam \u201cnos espiando<\/em>\u201d.<\/p>\n

Segundo\u00a0Carl Sagan<\/em>,\u00a0\u201cVivemos em uma sociedade intensamente dependente da ci\u00eancia e da tecnologia, em que quase ningu\u00e9m sabe nada sobre ci\u00eancia e tecnologia<\/em>\u201d<\/a>. Estamos a todo momento cercados por uma variedade crescente de aparelhos que se prop\u00f5em a tornar nossa vida mais f\u00e1cil, mais saud\u00e1vel, mais interativa. Tudo isso ao custo de um r\u00e1pido olhar naquilo que nos define como \u00fanicos, nossa privacidade. Atualmente, carregamos mais poder computacional no bolso de nossa cal\u00e7a que todo o aparato computacional que levou o homem \u00e0 lua\u00a0(Apollo 11, em julho de 1969)<\/a>. Em nossa vida cotidiana estamos cercados por c\u00e2meras e sensores capazes de rastrear nosso deslocamento a cada momento do dia, e com isso identificar nossa rotina. Elevadores de pr\u00e9dios residenciais que conseguem distinguir o padr\u00e3o de hor\u00e1rio de sua utiliza\u00e7\u00e3o, de forma a \u201cpredizer\u201d quando ser\u00e3o usados, deslocando-se antecipadamente para o andar correto. Geladeiras que identificam a falta de determinados produtos, e s\u00e3o capazes inclusive de solicitar a compra da nossa \u201clista de itens mais consumidos\u201d. C\u00e2meras especiais que identificam, com uma precis\u00e3o sobre-humana, mudan\u00e7as sutis em nossa express\u00e3o facial, e classificam o conte\u00fado apresentado em uma variedade de perfis de emo\u00e7\u00f5es, conseguindo inclusive detectar uma mentira. Aplicativos baseados em geolocaliza\u00e7\u00e3o que auxiliam na escolha de melhores rotas, ajudando-nos a driblar engarrafamentos. Aparelhos de entretenimento que registram o que se fala junto deles de forma t\u00e3o precisa que j\u00e1 existem casos de intima\u00e7\u00e3o de alguns deles, para depoimento em\u00a0disputas jur\u00eddicas<\/a>.<\/p>\n

Mesmo que o mapeamento das sutilezas de nossa privacidade seja o custo para a melhoria da qualidade de vida e aprimoramento dos servi\u00e7os, entre outras benesses, \u00e9 essencial a necessidade do conhecimento e consentimento, bem como um esclarecimento inequ\u00edvoco sobre com quem esses dados eventualmente podem vir a ser compartilhados. Sem isso, nada impede que estes mesmos dados sejam usados de forma indiscriminada, em projetos que inclusive atentem contra nossos interesses particulares.<\/p>\n

E se na vida pessoal do indiv\u00edduo este n\u00edvel de exposi\u00e7\u00e3o j\u00e1 \u00e9 pelo menos desconfort\u00e1vel, para as empresas que utilizam e manipulam estes dados, a responsabilidade sobre a guarda segura deste bem valioso, traz desafios gigantes. Considerar \u201cDados como o novo petr\u00f3leo\u201d, como disse\u00a0Humby<\/em>, talvez n\u00e3o represente o tamanho do desafio que recai agora sobre as corpora\u00e7\u00f5es, que precisam garantir a seguran\u00e7a dessas informa\u00e7\u00f5es\u200a\u2014\u200aafinal, tal como o petr\u00f3leo, \u201cdanos ao ecossistema\u201d de dados s\u00e3o uma realidade. No evento de um furto, ou subtra\u00e7\u00e3o de qualquer quantidade de petr\u00f3leo, a aus\u00eancia deste bem pode ser visualmente determinada, pois o barril n\u00e3o estar\u00e1 mais no lugar onde estava, ou o volume armazenado ser\u00e1 menor. No caso do furto de dados isto n\u00e3o acontece. O conjunto original pode ser mantido exatamente como estava, dificultando a identifica\u00e7\u00e3o do evento de c\u00f3pia e extra\u00e7\u00e3o. Roubam-se c\u00f3pias, que s\u00e3o igualmente preciosas. A conhecida tr\u00edade de Confidencialidade, Integridade e Disponibilidade est\u00e1 sob constante risco, pois \u00e0 medida que dados pessoais ou de neg\u00f3cios aumentam no volume captado e processado, eleva-se para as empresas o valor deles, bem como os riscos envolvidos.<\/p>\n

Quanto aos dados de titularidade de corpora\u00e7\u00f5es, um bom sistema de governan\u00e7a corporativa de dados ajuda e muito a identificar e mitigar esses riscos. Nem todas empresas, por\u00e9m, disp\u00f5em de recursos financeiros e humanos para tal, e, no final do dia, muitas tendem a enxergar o\u00a0compliance<\/em>apenas como um \u201ccusto adicional\u201d\u200a\u2014\u200aquando deveria ser visto como algo que efetivamente traz retorno financeiro e de imagem perante o mercado e os consumidores, sem esquecer que evita exposi\u00e7\u00f5es legais. Em resumo, algo extremamente recomend\u00e1vel, mas n\u00e3o exigido de modo absoluto. Todavia, ap\u00f3s a aprova\u00e7\u00e3o da Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais ocorrida em agosto deste ano, todos os dados pessoais passaram a contar com uma legisla\u00e7\u00e3o regulat\u00f3ria espec\u00edfica que contempla, entre outras coisas, a aplica\u00e7\u00e3o de pesadas multas caso n\u00e3o seja evidenciado formalmente que as medidas previstas na lei tais como um relat\u00f3rio de impacto, detalhamentos sobre as bases legais para a coleta e processamento dos dados pessoais e at\u00e9 a incorpora\u00e7\u00e3o por parte da equipe de engenharia de software (tamb\u00e9m) de conceitos como\u00a0Privacy by Design<\/em>, para citar apenas algumas das demandas previstas. Ou seja, olhando para os dados pessoais, estar em conformidade com a lei n\u00e3o \u00e9 mais uma op\u00e7\u00e3o. \u00c9 uma necessidade concreta e urgente.<\/p>\n

Um aspecto importante desta nova legisla\u00e7\u00e3o que precisa ser bem compreendido est\u00e1 na diferen\u00e7a entre seguran\u00e7a e privacidade. \u00c9 muito importante estabelecer corretamente a distin\u00e7\u00e3o desses dois conceitos, uma vez que um mal entendimento desta diferen\u00e7a pode levar a pol\u00edticas, planos e processos falhos ou mal escritos.<\/p>\n

Seguran\u00e7a da informa\u00e7\u00e3o trata da tecnologia, ferramentas e processos, utilizados para proteger, neste contexto, a informa\u00e7\u00e3o pessoal, quanto aos seus princ\u00edpios fundamentais de Confidencialidade, Disponibilidade (Availability) e Integridade, tamb\u00e9m conhecido como CIA. Por sua vez, a Privacidade se relaciona aos aspectos da informa\u00e7\u00e3o pessoal, e o que define sua diferen\u00e7a para a Seguran\u00e7a das Informa\u00e7\u00f5es, para as corpora\u00e7\u00f5es que armazenam dados pessoais, \u00e9 que agora faz-se necess\u00e1rio responder perguntas, como:<\/p>\n

(i) Localiza\u00e7\u00e3o dos dados: onde s\u00e3o armazenadas as informa\u00e7\u00f5es pessoais, e qual o mecanismo de prote\u00e7\u00e3o utilizado para impedir que extra\u00e7\u00f5es, ou c\u00f3pias n\u00e3o autorizadas, revelem qualquer tipo de dado armazenado? A informa\u00e7\u00e3o armazenada precisa estar segura de forma que mesmo no evento de uma c\u00f3pia n\u00e3o autorizada, o conte\u00fado deste processo de duplica\u00e7\u00e3o resulte em algo que ainda esteja inacess\u00edvel ao agente ofensor. Este aspecto deve ser tratado com um esquema adequando de\u00a0Encripta\u00e7\u00e3o de Dados<\/em><\/p>\n

(ii) O que exatamente s\u00e3o seus dados: a legisla\u00e7\u00e3o \u00e9 direcionada mais especificamente \u00e0s informa\u00e7\u00f5es relacionadas a um indiv\u00edduo vivo, identificado ou identific\u00e1vel. Aqui, t\u00e9cnicas de Classifica\u00e7\u00e3o da Informa\u00e7\u00e3o, associadas a ferramentas de Preven\u00e7\u00e3o \u00e0 Fuga de Dados (Data Leak Prevention<\/em>), s\u00e3o fatores desejados que ajudam a prevenir incidentes.<\/p>\n

(iii) Quem pode acessar seus dados: garantir que o acesso aos dados s\u00f3 pode ser realizado por pessoas autorizadas, e corretamente identificadas, com seu papel atrelado ao seu n\u00edvel de acesso. De forma que nenhum agente ofensor possa assumir uma outra identidade. A utiliza\u00e7\u00e3o de controles fortes de auditoria, bem como m\u00faltiplos fatores de autentica\u00e7\u00e3o, s\u00e3o bons exemplos de t\u00e9cnicas e ferramentas de seguran\u00e7a, utilizados nesta quest\u00e3o de Privacidade.<\/p>\n

Responder a estas perguntas, apenas, n\u00e3o \u00e9 suficiente para que se toque a ponta do iceberg, mas ajuda a entender o tamanho do desafio que as empresas t\u00eam pela frente. Atualmente, n\u00e3o existe uma f\u00f3rmula m\u00e1gica, ou uma bala de prata, que resolva todos as exig\u00eancias de conformidade da nova legisla\u00e7\u00e3o. A seguran\u00e7a da informa\u00e7\u00e3o nas organiza\u00e7\u00f5es dever\u00e1 ser tratada daqui para frente como um processo constante e incessante em busca do melhoramento cont\u00ednuo. Os programas de conformidade e ader\u00eancia a melhores pr\u00e1ticas e padr\u00f5es dever\u00e3o ganhar for\u00e7a e import\u00e2ncia cada vez maior. O estudo e implanta\u00e7\u00e3o de sistemas de avalia\u00e7\u00e3o da maturidade, e o melhoramento da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o se apresentam neste momento como a primeira linha de a\u00e7\u00e3o em dire\u00e7\u00e3o \u00e0 adequa\u00e7\u00e3o a nova norma. Ferramentas e sistemas de tecnologia neste momento podem ser grandes aliados, mas n\u00e3o podem ser vistos como a solu\u00e7\u00e3o definitiva. \u00c1reas de compet\u00eancias desejadas neste primeiro momento devem incluir, mas n\u00e3o se limitar a:<\/p>\n