Palestrante: Amilton Justino
Título da palestra: GDPR/LGPD – A Solução está nos Plugins?
LGPD (Lei Geral de Proteção de Dados Pessoais), GDPR (General Data Protection Regulation), DPO, DPA… são termos novos para todos nós, mas que vão aos poucos fazendo parte do nosso vocabulário binário.
A partir do final de 2020 estaremos todos sujeitos a responder por vazamentos de dados pessoais aqui no Brasil. Na Europa já está vigente, com empresas sendo fiscalizadas e autuadas, porém… se você tiver dados de algum cidadão europeu, um site de booking de hotéis, por exemplo, já está sujeito a responder em caso de vazamento.
Com esta demanda pela conformidade, começam a “pipocar” soluções “miraculosas”, “100% compliance em pó instantâneo”, estão vendendo “segurança em caixinha” (basta instalar o plugin “and you are done!”), isso sem mencionar as “certificações relâmpago” em DPO (Data protection Officer) que estão brotando no mercado de Segurança da Informação.
Esta conformação oportunista é muito perigosa, pois estão vendendo uma falsa sensação de conformidade e segurança, o que pode colocar o seu negócio em risco. Achando que está protegido, em conformidade, você acaba “baixando a guarda” e ficando exposto a incorrer em não conformidades que os plugins não cobrem, inclusive em casos de ataques e vazamentos de dados, cada vez mais frequentes.
A enxurrada de plugins “100% compliance” com GDPR/LGPD, nos provocou a verificar o quanto realmente eles são capazes de deixar o seu ambiente em conformidade com estas leis.
Assim, escolhemos alguns dos plugins mais bem avaliados e tendo como ponto de partida o que eles prometem, analisamos duas situações. A primeira, se estão realmente proporcionando aquilo que se propõem, por exemplo: O plugin está realmente bloqueando os cookies quando o usuário assim escolhe?
Na segunda situação, tendo como base um checklist da lei praticada na comunidade européia (GDPR), vamos estimar o percentual de compliance que realmente entregam, quando estão cumprindo o papel proposto.
Não vamos aqui citar nenhum dos plugins, pois a intenção não é nos posicionarmos contra o uso dos plugins, uma vez que eles realmente resolvem uma parte do problema. Nosso objetivo principal é que se você optar por utilizá-los, tenha consciência exatamente disso, que eles executam apenas uma pequena parte do trabalho de entrar em conformidade com as leis de proteção de dados.
Nossa intenção é evitar que as empresas passem por terríveis surpresas, levando um susto, quando por exemplo, no caso de um vazamento, sejam questionadas, responsabilizadas e duramente penalizadas, pela grande parte das inúmeras não-conformidades que o plugin não cobriu. Não por falha do produto, mas pela forma vil e irresponsável como sua venda, muitas vezes vem sendo realizada.
Pretendemos passar ainda uma dimensão mais real do que é necessário para quem coleta dados pessoais ficar em conformidade com a Lei européia e brasileira.