Analistas exploram o tema durante a Conferência Gartner Segurança e Gestão de Risco 2019, que acontece nos dias 13 e 14 de agosto, em São Paulo
O Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, avalia que líderes de segurança e gestão de riscos, incluindo os Chief Information and Security Officers (CISOs) e profissionais ligados à área de privacidade, devem fortalecer seus esforços para reconhecer o amadurecimento dos regulamentos de proteção e garantir uma operação amigável à privacidade das informações.
De acordo com as pesquisas do Gartner, a privacidade é cada vez mais uma questão crítica para as organizações e vem sendo reforçada pela adoção de novos padrões de trabalho na área. O recente movimento de definição de novas regras de proteção de dados, como o General Data Protection Regulation (GDPR) já em vigor na União Europeia e que também chegará ao Brasil em 2020, com a Lei Geral de Proteção de Dados (LGPD), é um dos pontos que tem impulsionado um movimento global de amadurecimento de leis de privacidade e proteção de dados com requisitos mais rigorosos.
“Vários países estão implementando regulamentações inspiradas nos princípios do GDPR, um movimento que provavelmente continuará no futuro”, diz Bart Willemsen, Analista Sênior do Gartner. “Esses requisitos de privacidade afetam drasticamente a estratégia das empresas, a finalidade e os métodos de uma organização para o processamento de dados pessoais. Além disso, as violações desses requisitos acarretam implicações financeiras, de reputação e regulatórias”, afirma.
Nesse cenário, o Gartner destaca que os líderes de segurança e gestão de riscos devem observar as seguintes previsões para garantir a transparência e a garantia de privacidade aos clientes e a seus negócios:
1- Até 2020, o backup e o arquivamento de dados pessoais representarão a maior área de risco de privacidade para 70% das organizações, contra 10% em 2018. Hoje, as organizações mantêm backups de grandes volumes de dados pessoais que são sensíveis e vulneráveis, sem nenhuma intenção clara de usá-los. Como a sensibilidade é uma característica constante e a vulnerabilidade é possivelmente equivalente, o volume acaba elevando o nível de risco e, por isso, representa a maior área de risco de privacidade hoje. Além disso, os regulamentos de privacidade estão gerando penalidades e multas rígidas por violações, ampliando consideravelmente o risco de se manter dados pessoais que não serão utilizados.
Nos próximos dois anos, as organizações que não revisarem as políticas de retenção de dados para reduzir o volume de informações armazenadas e, por extensão, os dados que são copiados, enfrentarão um enorme risco de não conformidade, bem como os impactos associados a uma eventual violação. O GDPR, por exemplo, implementou multas regulatórias de até 4% do faturamento global anual ou 20 milhões de euros, o que for maior, por descumprimento.
2- Até 2022, 75% dos Blockchains públicos sofrerão “envenenamento por privacidade” – dados pessoais inseridos que tornam o blockchain incompatível com as leis de privacidade. O Blockchain é uma tecnologia promissora; no entanto, as empresas que desejam implementá-la devem determinar se os dados em uso estão sujeitos a qualquer lei de privacidade. Por exemplo, Blockchains públicos precisam de uma estrutura de dados imutável, o que significa que uma vez que os dados são gravados, não podem ser facilmente modificados ou excluídos. Os direitos de privacidade concedidos a indivíduos incluem a opção de os clientes invocarem o “direito de serem esquecidos”. Em muitos desses casos, os dados pessoais processados devem ser excluídos – o que pode ser impossível.
Isso levanta preocupações imediatas, já que as entradas em um Blockchain público podem ser envenenadas com informações pessoais que não podem ser substituídas ou excluídas estruturalmente. Essa situação fará com que as empresas não possam atender à necessidade de manter registros em conformidade com suas obrigações para cumprir as leis de privacidade. Organizações que implementarem sistemas Blockchain sem gerenciar problemas de privacidade por projeto correrão o risco de armazenar dados pessoais que não poderão ser excluídos sem comprometer a integridade da cadeia.
3- Até 2023, mais de 25% das implementações de prova de consentimento baseadas no GDPR irão envolver a tecnologia Blockchain, em comparação com menos de 2% em 2018. Embora as diretrizes do GDPR estejam em vigor desde maio de 2018, as organizações estão em diferentes níveis de conformidade. A pressão para cumprir plenamente a legislação está aumentando, levando as companhias europeias e as que fazem negócios com a União Europeia a avaliarem melhor seus processos de coleta de dados. No entanto, a maioria dessas empresas ainda está lutando com custos de integração de tecnologias que possam ajudar a acelerar o ajuste para a conformidade com a privacidade.
“A aplicação do Blockchain para o gerenciamento de consentimento é um cenário emergente em um estágio inicial de experimentação”, diz Willemsen. “Várias organizações começaram a explorar o uso do Blockchain para o gerenciamento de consentimento, porque a imutabilidade potencial e o rastreamento de Blockchains ortodoxos poderiam fornecer o acompanhamento e a auditoria necessários para cumprir a legislação de proteção de dados e privacidade”.
Pesquisas completas sobre o tema serão apresentadas durante a Conferência Gartner Segurança e Gestão de Risco 2019, que acontece nos dias 13 e 14 de agosto, em São Paulo. Considerado um dos principais encontros corporativos da América Latina, o evento reunirá analistas e especialistas do mercado para apresentar o cenário de segurança digital e como os líderes podem avançar em suas estratégias de proteção e gerenciamento de riscos.
Interessados em participar do evento devem contatar o Gartner pelo e-mail conferencias.brasil@gartner.com, pelos telefones (11) 5632-3109 e 0800 774 1440, ou pelo site http://www.gartner.com/pt-br/conferences/la/security-risk-management-brazil.