Tríade inseparável: LGPD, TI e cibersegurança
26 de agosto de 2021Outro fator importante, no qual uma consultoria para implementação de soluções para LGPD pode ajudar, é na necessidade de transparência
Por Mario Lopes
Há uma forte ligação entre a Lei Geral De Proteção de Dados (LGPD) e o TI de uma empresa, uma vez que, dentre as responsabilidades deste departamento na maior parte das companhias, está a segurança da informação e a proteção dos dados, incluindo o controle de todas as plataformas de tratamento, entrada e saída de dados sensíveis de clientes, funcionários, parceiros e até fornecedores.
Assim, cabe aos departamentos jurídicos e de TI o direcionamento da organização no caminho correto e na criação de soluções multidisciplinares para a adequação às normas de aquisição, tratamento e armazenamento dos dados.
A LGPD é aplicada a toda empresa, pública ou privada, localizada em território brasileiro. Qualquer instituição que coleta informações pessoais e lida com dados sensíveis de cidadãos brasileiros também deve segui-la.
Para se adequar à LGPD, a empresa deve:
1. Avaliar os dados já armazenados
As informações coletadas antes das atuais exigências devem ser mapeadas e classificadas. É fundamental confirmar se são todas confidenciais, quais são classificadas como sensíveis, quem tem acesso a elas, se foram coletadas mediante consentimento e se estão armazenadas de forma segura.
Diante dessa análise, pode-se optar por descartar, de forma definitiva, todos os dados possuídos ou regularizá-los. Na primeira opção, se por um lado a companhia mitiga riscos de não conformidade, por outro, pode ter uma perda significativa de oportunidades.
Já a segunda, que pode ser considerada uma estratégia mais ponderada, representa um processo cuidadoso de adequação. Nesse caso, é preciso avaliar o que já tem consentimento, analisar a qualidade dele e renová-lo.
2. Aprimorar a coleta das informações
A partir da vigência da LGPD somente poderão ser coletados dados pessoais mediante a autorização. Sendo que no momento da solicitação, é preciso ter transparência sobre quais informações são essas e para qual finalidade elas serão utilizadas.
Cabe à gestão de TI buscar meios para que isso seja viabilizado e cumprido de acordo com as normas jurídicas, bem como auxiliar a empresa a entender onde os dados estão em todos os momentos, seja na coleta, armazenamento, processamento etc.
3. Fazer o tratamento dos dados
O tratamento que os dados recebem na empresa também passa pelo crivo do departamento de TI. É de sua responsabilidade elencar procedimentos e configurações para incorporar regras de proteção em todas ferramentas e processos do dia a dia, tornando-a um padrão e não mais um adendo.
4. Assegurar a arquitetura da informação
É importante que haja um cuidado dos profissionais de TI em relação à privacidade na arquitetura da informação dos sites e sistemas da empresa.
É preciso, por exemplo, criptografá-los de ponta a ponta, criando uma camada de proteção e evitando que os dados sejam acessados por pessoas não autorizadas.
Com isso, todos os projetos devem contar, desde a sua concepção, com o conceito “privacy by design”. Ou seja, a privacidade está agregada à solução, com o objetivo de garantir o respeito pela privacidade do usuário.
5. Oferecer armazenamento seguro
A gestão de TI deve, de forma contínua, assumir um papel mais proativo acerca do armazenamento de dados, prevendo e antecipando eventos que possam comprometer a privacidade.
Por isso, junto à direção da empresa, deve ser implementado a gestão de acesso privilegiado. Isto é, criar e definir diferentes níveis de acesso nos softwares ou servidores internos para que cada funcionário somente tenha acesso a informações que são essenciais para a realização das suas demandas.
Além disso, é essencial buscar opções ágeis e confiáveis de backups que facilitem a centralização, o monitoramento, a integridade das informações e a recuperação de dados, bem como sua exclusão por completo, caso necessário.
Uma solução que tem demonstrado grande eficiência são os serviços em nuvem. Entretanto, eles não oferecem total garantia de privacidade e segurança sozinhos, mas a escolha cuidadosa de um bom provedor minimiza os riscos quando integrada a um projeto de arquitetura de cibersegurança.
6. Desenvolver um plano de respostas a incidentes
Essa questão também está ligada à necessidade de um perfil mais proativo da gestão de TI para que sejam definidos procedimentos a serem tomados diante de um incidente de segurança, por exemplo, uma tentativa de ciberataque.
Para isso, o departamento de TI deve focar na investigação de ameaças e possíveis vulnerabilidades do sistema da empresa.
Sendo que a LGPD também exige que a empresa possua ferramentas e mecanismos para evitar incidentes e, caso um ataque seja bem sucedido, para identificar a invasão, remediar a situação e responder de forma rápida e satisfatória.
A comprovação dessas ferramentas de proteção por parte da empresa são fundamentais para evitar punições.
LGPD e TI: um grande desafio para as companhias
Para realizar todos os pontos citados acima, as companhias precisarão aumentar seu investimento em cibersegurança. Seja para implementar processos do zero ou para adaptar os já existentes à nova Lei.
A contratação de uma consultoria de segurança para essa missão se faz importante devido à celeridade na qual essas mudanças precisam acontecer e às penalidades que podem ser aplicadas caso a organização não esteja em conformidade com as normas.
Outro fator importante, no qual uma consultoria para implementação de soluções para LGPD pode ajudar, é na necessidade de transparência.
As instituições devem demonstrar como é feito o uso de dados dos seus usuários e clientes. Esses processos são submetidos a análise de empresas terceiras, conhecidas como encarregadas, que avaliam se há ou não o cumprimento das regras.
Após a consultoria em LGPD, a empresa responsável emite relatórios de todo o trabalho feito, fornecendo evidências do cumprimento das exigências.
Portanto, sob o olhar da gestão, as Leis são as principais aliadas na segurança, porque garantem procedimentos alinhados às regras.
E assegurar que os processos do seu negócio vão ao encontro da LGPD, a principal legislação sobre segurança da informação, evitará ter que enfrentar multas e retaliação, bem como perda de reputação.
Após LGPD, aumentam proposições no legislativo sobre privacidade e proteção de dados