Melhores práticas para estar em conformidade com a LGPD

Fonte: Gartner [1]

A nova Lei Geral de Proteção de Dados (LGPD) entra em vigor, oficialmente, em agosto de 2020 no Brasil.

Para os negócios, a lei irá exigir das empresas diversos pontos referentes a segurança, transparência, confidencialidade de dados, privacidade e proteção de informações pessoais, definindo regras e limites sobre a coleta, o armazenamento e o tratamento dos dados por empresas e órgãos públicos, e determinando mais direitos aos usuários.

De acordo com o Gartner, as organizações não estão certas sobre onde, na estrutura organizacional, um novo Data Protection Officer (DPO) deve estar e quais devem ser os primeiros passos envolvidos na criação de um programa de gestão de privacidade.

Os DPOs serão confrontados com a difícil tarefa de estabelecer um novo programa organizacional, aumentar a conscientização das equipes e aumentar o nível de segurança das empresas.

Escolha um DPO

A escolha envolve a designação de um profissional da própria empresa ou de terceirizada para gerenciar o programa de gestão de privacidade. Esse profissional é o Data Protection Officer, ou DPO, e será o responsável por disseminar a cultura de proteção de dados na empresa, além de criar normas e procedimentos adequados à lei. Será ele que receberá notificações da ANPD (Agência Nacional de Proteção de Dados) e também dos titulares das informações e as colocará em prática.

Devido a essas atividades, o DPO terá papel fundamental nas decisões estratégicas das organizações, e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados e contato direto com a direção da empresa para poder tomar decisões que possam deixá-la em compliance com a lei.

Em uma recente pesquisa realizada com 40 clientes do Gartner no Brasil,  a maioria dos entrevistados declarou que ainda não tinha escolhido um DPO (73%) e ainda tinha dificuldades para determinar a quem essa posição deveria se reportar.

Avaliação de gaps

Desenvolva um Diagnóstico do Estado Atual de Privacidade: uma avaliação de impacto de privacidade após ações exaustivas relativas à descoberta de dados não é apenas uma tarefa necessária por meio da LGPD, mas um dever imperativo no sentido de permitir que a seleção de atividades e recursos baseada em risco esteja de acordo com o regulamento. Os componentes mais importantes de uma avaliação de impacto de privacidade incluem:

  • Um inventário de dados pessoais processados e armazenados, de clientes, funcionários e outros;
  • Identificação dos proprietários responsáveis (obrigatórios) pelo processo de negócios;
  • Informações quanto à finalidade da coleta de dados.

Controle de Acesso

Um dos pontos chave da LGPD são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados (Artigo 37), com definição das ACLs (Access Control List) com os logs armazenados e protegidos.

Saber onde estão localizadas as informações pessoais que precisam ser protegidas é só o primeiro passo para estar em conformidade com a LGPD. Uma vez que você sabe onde está localizado o conteúdo sensível, os maiores desafios vêm a seguir: entender quem tem acesso a essas informações, quem está usando, quem é o dono, se foram violados, se podem ser excluídos, se oferecem riscos e quem vai ser afetado com uma eventual mudança em seu conteúdo.

Os arquivos de logs deverão ter acessos restritos e serem protegidos com cópias de segurança de backup.

A classificação dos arquivos pessoais e o tempo de retenção deverão ser gerenciados pela área de TI. Assim, as empresas vão poder definir amplamente tendências nas atividades de acesso da empresa, incluindo a presença de dados obsoletos sensíveis que estão gerando riscos desnecessários ao negócio.

 Governança da privacidade

Os requisitos de responsabilidade e transparência levam à ampliação da documentação (interna) e ao registro dos riscos. Lembre-se de que o objetivo do processamento de dados, da qualidade dos dados e da relevância dos dados deve ser definido ao se iniciar uma nova atividade de processamento.

Também é uma atitude sensata incorporar um mecanismo interno que ajude a manter a conformidade nas futuras atividades de processamento de dados pessoais.

Golpes baseados em roubos de identidade além de trazer prejuízos para os titulares das informações, implicarão também para as empresas responsáveis pelo seu armazenamento em multas e perda de reputação. Daí a importância em contar com soluções de armazenamento seguras, com processos certificados e com infraestrutura de ambiente de data center.

Outra tecnologia importante é a implementação de criptografia para a comunicação e armazenamento dos dados, tanto em ambientes locais (On Premise) como em nuvem. Devido a esse recurso, os dados ganham códigos de segurança que só podem ser decifrados somente pelo detentor da informação.

Assim, a empresa assegura que as informações permaneçam invioláveis e sigilosas ao longo do seu ciclo de utilização.

Desenvolver uma resposta à violação de dados

A ANPD, autoridade nacional responsável pela proteção de dados, precisa ser notificada em casos de vazamento de dados pessoais. Adapte-se e aprenda com os fluxos de trabalho de resposta a incidentes de segurança, mas garanta que haja uma resposta à violação de dados específica (privacidade). Isso será necessário quando ficar claro que os dados pessoais:

  • Não estão disponíveis onde deveriam estar;
  • Estão (mesmo que eventualmente) disponíveis onde não deveriam estar.

Acompanhe o blog Tudo Sobre Backup para saber mais sobre a LGPD e o impacto para os negócios.

Bibliografia: 

[1] Gartner,  “Cinco melhores práticas para estar em conformidade com a LGPD”

 

Leave a Reply

Your email address will not be published. Required fields are marked *