Geral 2min de Leitura - 28 de maio de 2021

Apenas 42% das empresas relatam violações de dados no prazo

This post is also available in: Português

Considerado baixo, percentual é revelado por pesquisa lançada na semana em que a legislação europeia sobre o tema completa três anos.

Todo final do mês de maio na Europa é lembrado como um marco no campo da segurança digital. Nesta época, em 2018, entrou em vigor no continente a lei geral de proteção de dados (GDPR, na sigla em inglês), legislação essa que inspirou muitas das diretrizes do conjunto de regras do Brasil. Seu terceiro aniversário, no entanto, não permite tantas comemorações.

No Reino Unido, por exemplo, muitas empresas ainda não cumprem alguns dos requisitos mais básicos. Quem faz o alerta é a multinacional CrowdStrike, focada no tema, que publicou uma pesquisa com números preocupantes.

Tal afirmação é fruto de entrevistas com 500 gestores com poder de decisão na TI das empresas, feitas entre 30 de abril e 10 de maio para entender melhor como está a aplicação da legislação no Reino Unido.

Infelizmente, a pesquisa descobriu que apenas 42% das empresas que foram invadidas relatam o incidente às autoridades no prazo de 72 horas, conforme exigido por lei.
O estudo revelou ainda uma falta geral de consciência e visibilidade em outros tópicos: 67% dos entrevistados disseram que se consideram “preparados” caso se tornem vítimas de violação, mas apenas 36% realmente elaboraram protocolos específicos para lidar com as consequências de incidentes com a segurança digital.

A lei no Brexit

Cerca de 22% afirmaram que não sabem ao certo como a GDPR se aplica ao Reino Unido após o Brexit. Na realidade, as regulamentações do GDPR do Reino Unido estão agora separadas daquelas da União Europeia (UE). Isso significa que existem então duas legislações de proteção de dados, ao invés de apenas uma.

Assim, a GDPR do Reino Unido abrange usuários do Reino Unido, enquanto a GDPR da UE serve para indivíduos residentes em seus países associados. As empresas que possuem ambos os tipos de dados, terão agora que aderir a cada uma das duas legislações.

Nesse contexto, o Reino Unido é agora oficialmente considerado um “terceiro país” sob a ótica da GDPR da UE, o que significa que as empresas britânicas que servem os consumidores da UE precisarão cumprir tanto as medidas da GDPR do Reino Unido quanto as da União Europeia.

Mar de dúvidas

Outro campo repleto de incertezas revelado pela pesquisa é que dois terços das empresas não sabem (41%) ou subestimam (25%) o valor máximo das multas aplicáveis em caso de erro. O órgão britânico responsável – Information Commissioner’s Office (ICO) – informa que os valores podem chegar a 4% do faturamento anual, ou £ 17 milhões (o que representa cerca de R$ 127 milhões), escolhendo entre as duas a quantia que for maior.

Segundo a CrowdStrike, que conduziu o estudo, muitas empresas ainda lutam para entender o que é ao certo uma violação de dados, e quanto tempo elas têm para relatá-la. “Algumas empresas não sabem que simplesmente enviar informações confidenciais sobre uma pessoa para um endereço de e-mail incorreto pode desencadear a necessidade de uma notificação”, disse a companhia em um comunicado.

Nesse contexto, os gerentes de TI têm um papel fundamental a desempenhar. Não apenas ajudando a proteger o negócio em primeiro lugar, mas também garantindo que a empresa entenda seus requisitos legais quando se trata de violações – e esteja em posição de atendê-los. “A pesquisa destaca a necessidade contínua de educar as empresas sobre o uso da GDPR e como são afetadas pelo regulamento”, complementa o comunicado.

Essa frase, apesar de se referir ao Reino Unido, sintetiza uma realidade mundial, também vista no Brasil. As empresas precisam investir em conhecimento o tempo todo, para que os regramentos sejam compreendidos e cumpridos em sua totalidade. Do contrário, novas invasões podem surgir, e – com a Lei Geral de Proteção de Dados – novas multas.

This post is also available in: Português