A LGPD – Lei Geral de Proteção de Dados, como o próprio nome sugere, é voltada à proteção de dados pessoais, ou seja, a operações de tratamento (processamento) de informações relacionadas à pessoa natural (pessoa natural = pessoa física, ser humano, não pode ser empresa) identificada ou identificável. Este foco específico da lei é excelente, pois traz uma proteção ao indivíduo que é assegurada na Constituição Federal: nosso direito fundamental à privacidade (art. 5º, X, Constituição Federal, que diz respeito à inviolabilidade da intimidade e da vida privada).
A relação entre segurança da informação e privacidade de dados diz respeito à privacidade e à proteção de dados pessoais. A lei traz muitos benefícios para a empresa quanto à prática de segurança por prever a utilização de medidas administrativas e técnicas que aprimoram a cibersegurança. Pode-se dizer que muitos pontos da lei geral de proteção de dados já se constituem como boas práticas na segurança da informação. Uma dinâmica fundamental de TI, por exemplo, é a garantia de prevenção à fraude, o que assegura a integridade dos dados. Esta prática está prevista na privacidade de dados. Falar de segurança da informação e privacidade de dados é, além de falar de tecnologias e melhores práticas técnicas, abordar o universo de governança, riscos e compliance. Isso possibilita entender criptografia de informações, controle de acessos, criação de camadas de segurança, análises e testes, habilitação de autenticação. Todas essas práticas, já presentes no dia a dia empresarial, são reforçadas com a lei.
A adoção de soluções tecnológicas de ponta não garantem a adequação à privacidade de dados. Por este motivo, as empresas precisam compreender os principais impactos da lei em suas atividades para garantir a conformidade.
O primeiro ponto que merece a atenção do gestor de TI é a necessidade de investimento em cibersegurança, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados. Isso é fundamental, porque a lei considera a adoção de boas práticas como um critério atenuante para eventuais penalidades.
Outra questão fundamental é a nomeação do encarregado de proteção de dados (DPO – data protection officer), cuja principal atividade será o monitoramento e a disseminação de boas práticas de proteção de dados pessoais dentro da organização e perante os stakeholders. Ele também será a interface com a autoridade nacional de proteção de dados (ANPD).
Por fim, será preciso dar atenção às práticas para garantir a conformidade entre a segurança da informação e a privacidade de dados. É preciso, de fato, tomar as medidas direcionadas à segurança digital e cibernética que contemplam pessoas, processos e tecnologia. O ideal é contar com serviços, aplicações e soluções que se fundamentam em segurança da informação e privacidade de dados.
Dados armazenados em infraestrutura local, por exemplo, podem demandar camada de proteção adicional para criptografar arquivos. Por sua vez, estes não podem ser acessados sem autorização, motivo pelo qual será preciso ter uma política de acesso eficiente, com gestão da identidade. Para dados armazenados em dispositivos móveis, é possível utilizar recursos de gerenciamento que movem a camada de criptografia para os aplicativos e aplicam controles adicionais sobre o compartilhamento.
Em qualquer caso, a conformidade com a privacidade de dados deve levar em consideração governança, conformidade documental (adequação jurídica de termos, contratos e políticas de privacidade e de proteção de dados) e conscientização. A governança merece destaque especial.
A governança de segurança da informação e privacidade de dados inclui a gestão de incidentes e de riscos, o mapa de dados e o DPO. Uma boa gestão de incidentes inclui um comitê que trata do evento ocorrente, de forma a minimizar seus efeitos para a empresa. Ela também faz uma base de dados dos incidentes ocorridos, de modo a documentar as vulnerabilidades e otimizar a prevenção.
A gestão de riscos, por sua vez, é uma das boas práticas de adequação quanto à governança. Por meio dela, o gestor identifica os riscos inerentes, elaborando um mapa de calor dos riscos conforme seu impacto e a probabilidade de ocorrência. A identificação de riscos e ameaças do ambiente organizacional envolve testes de vulnerabilidades e de invasão, com o objetivo de encontrar ameaças e fragilidades do ambiente tecnológico. A partir da identificação, é feita uma análise da relação entre segurança da informação e privacidade de dados.
O que precisa ser ajustado conforme a lei? Essa prática proporciona ao gestor ter uma previsão de como se pode controlar e mitigar os riscos. Já o mapa de dados é uma atividade extensa, pois envolve todas as áreas do negócio. Afinal, todas elas tratam dados pessoais, como é o caso dos dados dos colaboradores, que também são pessoais.
Este mapa, então, ajuda o gestor a identificar os processos da empresa que tratam dados pessoais. Eles abrangem desde o atendimento ao cliente pessoa física até o fornecedor e o colaborador. Dessa forma, ajuda a dar visibilidade sobre a forma de tratamento de dados pessoais, bem como as lacunas quanto ao tratamento.
O encarregado de dados (DPO), conforme apontamos, fará o monitoramento e a disseminação das práticas de proteção de dados pessoais dentro da organização. Ele será fundamental para a conscientização e a capacitação de gestores e colaboradores.
A relação entre segurança da informação e privacidade de dados é próxima, porque a lei traz a necessidade de se adotar medidas técnicas de segurança e boas práticas de data protection. Análise de vulnerabilidades, adequação e automatização de processos, e digitalização de dados é apenas uma abordagem. Práticas como monitoramento passam a fazer parte da rotina empresarial a partir de agora.
E aí, você está preparado? Não? Fale com a gente!!