Grande parte das organizações ainda estão aquém de poder implementar um processo interno, tendo em vista que muitas delas nunca se preocuparam com a ISO de segurança da informação
Por Marcos Assi*
A Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada por Michel Temer em agosto de 2018 e tem como prazo de início o mês de agosto deste ano, tendo como objetivo regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas. Com isso, a partir de 2020, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam – como nome e e-mail – deve seguir os procedimentos previstos na nova lei.
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16º do Marco Civil da Internet, desse modo o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. Outros regulamentos similares à LGPD no Brasil são o General Data Protection Regulation (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia (UE).
A lei em questão determina que o tratamento de dados, deve ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação, entre outras ações.
Para isso,é importante salientar que todo esse processo exige a presença de pelo menos três figuras essenciais que as empresas deverão conter em seu quadro profissional:
- o controlador – é quem toma as decisões sobre o tratamento dos dados
- o operador – é quem coloca em prática as decisões do controlador, e
- o encarregado – que tem a missão de fazer a “ponte” entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.
Portanto, se você tem a intenção de fazer a implementação deve se enquadrar nas exigências da lei, e as empresas terão que fazer algum investimento, seja em tecnologia ou em capacitação de seus profissionais internos, para que a implantação de uma estrutura e uma política interna de compliance digital acerca do tratamento de dados de seus clientes seja realmente eficaz. Isso vale tanto para empresas do setor público como do setor privado.
Vale como dica, que a primeira ação a ser tomada é um diagnóstico da equipe de TI juntamente com a área de controles internos, riscos e compliance – da própria empresa ou terceirizada – com relatórios de análises de risco e de análises de impacto das novas exigências. Assim, será possível verificar em qual estágio a empresa se encontra nesse sentido, quais são os pontos mais vulneráveis de seus sistemas e constatar quais são os maiores fatores de risco.
Tendo em vista algumas bobagens publicadas ultimamente, devemos dizer que para estar em compliance com a LGPD (ou com a GDPR) não se trata apenas de revisão de políticas e contratos. É uma mudança complexa de cultura.
Devemos avaliar cada processo, identificando suas diversas etapas, tais como avaliação de impacto, organização de banco de dados, implementação de mecanismos de segurança (antimalware, criptografia, duplo fator de autenticação, mudança de autorizações de acesso, etc.), treinamento de colaboradores internos e terceiros, adequação de políticas internas e contratos, plano de resposta a incidente, dentre várias outros estágios que envolvem tempo e trabalho para um resultado confiável e adequado à realidade da empresa. Não é algo que se faz “do dia pra noite”.
Devemos avaliar inúmeros itens previstos na lei, podemos citar alguns:
- Aplicabilidade da LGPD em nosso negócio e de terceiros;
- Titularidade dos dados, como e quando avaliar;
- Finalidade do tratamento dos dados, quem vai fazer;
- Forma de armazenamento dos dados, como, quando e onde;
- Compartilhamento dos dados – tenho ferramentas de monitoramento;
- Quais dados são considerados sensíveis, geralmente estará no RH.
Outra dica essencial é realizar a classificação de dados, seguindo a seguinte ordem:
- Mapeamento de dados, utilizando o 5W2H, se quiser;
- Onde estão armazenados os dados pessoais?;
- Quais os processos tratam dados pessoais?;
- Consentimento para o uso dos dados como fazer e com quem;
- Acesso aos dados, quem pode, como e quando acessar;
- Atualização, correção e exclusão, responsabilidades e obrigações;
- Portabilidade como orientar o cliente sobre suas políticas;
- Proteção dos dados internos e de terceiros;
- Direito ao esquecimento, cuidado ao apagar o passado.
Devemos nos preparar para que tenhamos um processo de segurança jurídica, com base nas exigências e penalidades da Lei, observando:
- Quais são as sanções previstas na lei;
- Que tipo de documentação é exigida;
- Como devemos e podemos guardar as evidências;
- Cuidados contratuais na venda de bens e serviços;
- Como podemos compartilhar os dados;
- Gestão de terceiros;
- Como identificar e tratar os dados de menores;
- Quais os tipos de seguro para cobertura de multas e o que fazer para que o incidente esteja coberto.
E para finalizamos, devemos ter algumas noções de Governança de TI e Gestão de Segurança da Informação, pois sem isso os incidentes ficam muito mais evidentes a cada dia, por isso, devemos identificar:
- Procedimentos internos com os papéis e responsabilidades na proteção dos dados;
- Quais as tecnologias usuais para garantir a privacidade e a confidencialidade das informações;
- Quais os tipos de análise de vulnerabilidades temos e quais as métricas de segurança da informação implementadas;
- Se existe o engajamento da alta gestão da empresa;
- Quais os papéis e responsabilidades do encarregado pela proteção dos dados (DPO) – se você tiver alguém para a função;
- Gestão de crises e noções de respostas a incidentes e revisão da ISO 27001;
- Matriz de análise de riscos e medidas de prevenção e correção;
- Analisar os cuidados na preservação de evidências.
Por esses motivos listados acima, acreditamos que muitas empresas ainda estão aquém de pode implementar um processo interno, tendo em vista que muitas delas nunca se preocuparam com a ISO de segurança da informação, ou na implementação de processos de governança de TI e muitas até sequer olharam o marco civil de internet, que poderia auxiliar muitas instituições neste momento. Fica aqui nossa dica de como fazer um processo com base em mapeamento de processos, implementação de controles internos, uma gestão de compliance voltada para riscos e uma mudança de postura de todos no que tange a necessidade de melhoria dos negócios.
*Marcos Assi é CCO, CRISC e Mestre, professor e consultor da MASSI Consultoria e Treinamento – Embaixador pela Divina Câmara Parisiense de Artes e Cultura 2018 e Prêmio Alta Gestão 2017, Comendador Acadêmico pela Câmara Brasileira de Cultura, professor de MBA na Sustentare Escola de Negócios, FECAP, IBMEC, Centro Paula Souza, UNIMAR, FADISMA, entre outras. É autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e compliance” pela Saint Paul Editora e “Compliance como implementar” pela Trevisan Editora.