Você está na página 1de 31

S O LU T I O N S

O manual
definitivo
de adequação
à LGPD
As melhores práticas para
o profissional de TI garantir
conformidade total
Parabéns!

Você acaba de baixar um material exclusivo que vai


colocar a sua empresa como uma das poucas em
todo o Brasil a tomarem iniciativas concretas para
adequação à Lei Geral de Proteção de Dados.

Este é um manual definitivo para profissionais de


cibersegurança e TI sustentarem as demandas de
privacidade da LGPD e garantirem que a empresa
não sofra multas, sanções e brechas na segurança.
Neste material,
você confere:
1. O ABC da conformidade à LGPD
2. A abordagem Zero Trust e como aplicá-la
3. UX como prioridade
4. As tecnologias que automatizam a conformidade
5. Educando seus colaboradores
6. A definição de um DPO
7. Inventariando informações e detectando gaps

Bônus!
8. Checklist de boas práticas Como não há mais tempo
a perder, vamos começar?
A alguns meses dela entrar em vigor, a maioria das
empresas brasileiras ainda está na estaca zero na
jornada pela conformidade. Geralmente, o processo
de adequação à LGPD precisa passar pelas
seguintes etapas:

Planejamento Avaliação Análise de Gaps Roadmap Implementação Auditoria


Lembrando que a jornada pela conformidade não
termina na auditoria. Assim como a entrada de Vamos então
dados na empresa, ela precisa ser constante.
ao primeiro
Depois da auditoria, é essencial voltar à análise de
tópico?
gap e assim por diante, ou colocamos em jogo todo
o trabalho feito pela conformidade.
O ABC da
Existem 3 princípios que resumem bem a dinâmica que a LGPD exige
das empresas e esses pilares devem estar no DNA da sua jornada

conformidade
pela conformidade. É o que vamos chamar de ABC da Lei Geral de
Proteção de Dados:

à LGPD A. Finalidade
Dados devem ser coletados apenas para uma finalidade
específica, que deve ser informada ao titular de forma
clara.
B. Minimização
Além disso, devem ser coletados apenas os dados
necessários para atingir essa finalidade.

C. Retenção mínima

O ABC da Após atingida a finalidade, os dados devem ser deletados ou


anonimizados.

conformidade Parece relativamente simples de seguir, concorda? Mas como

à LGPD os dados são ativos virtuais de qualquer empresa e têm muito


valor para os trabalhos de Business Intelligence, abrir mão
deles não é uma tarefa fácil.
O Zero Trust é uma abordagem de cibersegurança
cuja premissa é: na proteção dos dados, confiar é
se expor a riscos.

A abordagem O objetivo dela é diminuir a superfície de ataques,

Zero Trust
reduzir custos gerados por brechas e também
facilitar auditorias e o compliance às leis.
Para isso, elimina-se o pressuposto da confiança.
Qualquer pessoa e qualquer dispositivo devem sempre
ser verificados antes de acessar um sistema.

A abordagem Basicamente, o acesso é encarado como um privilégio.

Zero Trust Parece até algo extremo e trabalhoso, mas é uma


postura recomendada para garantir a segurança e a
privacidade dos dados estipulada pela LGPD.

O Zero Trust rastreia o acesso aos dados em 4 frentes:


quem, por que, onde e quando.
Quem
Fazer sempre a verificação de identidade de quem está acessando os dados. Isso
inclui não apenas as pessoas, mas quais são os dispositivos que elas usam.

Na prática:
Defina a autenticação multifator (MFA ou 2FA) como padrão, já que apenas

A abordagem senhas não são suficientes. E convenhamos, muitas pessoas ainda usam “12345”
ou “admin” para acessar seus computadores.

Zero Trust Uma alternativa ainda mais segura é o uso de chaves físicas de baixo custo, que
fazem parte do sistema U2F (Universal 2nd Factor). É o método que o Google usa.

Ela permite que o usuário conclua o login inserindo a chave no computador e


apertando um botão, como se estivesse destravando um cofre. O que significa
que mesmo que se uma senha for roubada, ela não servirá de nada sem a chave.
Por que
Para cada acesso concedido é importante saber antes por que alguém
precisa dele.

A abordagem Na prática:
O responsável pela liberação precisa saber o contexto por trás do pedido

Zero Trust para permitir o acesso a um determinado sistema ou grupo de dados.


Dessa forma, ele concede o acesso apenas aos caminhos necessários.
Onde
Talvez essa seja a parte mais exigente do Zero Trust. Ela estipula que o
acesso a um grupo de dados precisa acontecer em um ambiente próprio
para isso.

A abordagem Na prática:

Zero Trust
O computador que as pessoas usam para trabalhar precisa passar pela
constante aprovação da equipe de cibersegurança ou TI.
Quanto
Na sua empresa existe uma quantidade limitada de salas que você pode entrar
sem bater antes, certo? A mesma lógica se aplica ao acesso aos dados.

Ou seja, um colaborador não pode ter passe livre a todos os arquivos da


empresa.

A abordagem Isso expõe a corporação a invasores, que ao roubarem um login por meio de
phishing, por exemplo, avançam lateralmente pelo servidor até onde estão os

Zero Trust dados sensíveis.

Na prática:
Limitar o acesso a apenas o que o colaborador precisa para trabalhar. Se alguém
precisar de informações extras, o acesso deve ser monitorado e temporário.

Isso torna a infraestrutura do servidor invisível, microssegmentando os ativos


virtuais.
A verdade é que mesmo com sistemas aparentemente blindados, sempre há
a possibilidade de um data breach.

Isso porque os hackers formam uma comunidade criativa e inescrupulosa, e


muitas empresas não estão conseguindo dar conta de acompanhar a

A abordagem
sofisticação dos invasores.

O número de ciberataques disparando no mundo todo é prova disso.

Zero Trust E além de um grande dano à imagem e às atividades das corporações, sabemos
que um vazamento de dados resulta em multas milionárias pela LGPD.
Você deve ter reparado que as leis de proteção de dados criadas no

UX como mundo todo têm como prioridade máxima os desejos do usuário.

prioridade E isso quer dizer que para as empresas manterem a conformidade a


essas leis, a user experience também precisa ser uma prioridade delas.

Para isso, um bom trabalho de UX precisa começar no respeito e na


transparência.
O que significa que a empresa precisa deixar claro, de forma simples e
objetiva, por que está pedindo os dados daquela pessoa, como eles serão
usados, quem terá acesso a eles e até quando eles ficarão no database.

UX como
Além disso, a empresa precisa estar pronta para executar comandos e
deletar os dados quando o titular quiser. E claro, garantir a segurança das

prioridade
informações dele.

Afinal, em caso de um ciberataque, são os dados do usuário que vão parar


na mão dos criminosos e no mercado negro.

A QUESTÃO É QUE A SUA EMPRESA PODE


SER RESPONSABILIZADA POR ISSO.
O grande problema é fazer isso no dia a dia e em larga escala sem
consumir cada segundo da equipe de tecnologia.

Pensando nisso, estruturamos um quadro comparativo com algumas

UX como
soluções que o mercado disponibiliza para fazer a gestão automática das
exigências da LGPD como notificação em caso de vazamento,

prioridade
consentimento massivo e exclusão de dados.
Já existem soluções no mercado que
lidam automaticamente com as

Tecnologias exigências da LGPD.

que automatizam Confira um quadro comparativo das


tecnologias já oferecidas para
a conformidade fortalecer o seu ambiente de dados:
Funcionalidades Módulo Métis Solução B Solução C Solução D


Envio em massa de
formulário de
consentimento
x x x

✓ x ✓ ✓
Parametrização de
acesso a dados

Limitação de volume
de dados acessados ✓ x ✓ x
Histórico de atividades ✓ ✓ ✓ x
Rastreio de cada ação ✓ ✓ x ✓
Notificação automática
de autoridades ✓ ✓ ✓ ✓
Notificação automática
de titulares ✓ x x ✓

✓ x x x
Tecnologias
Portal para titulares
solicitarem exclusão

Anonimização de dados ✓ ✓ x ✓
que automatizam Cadastro automático de
fornecedores ✓ x x x

a conformidade ✓
Formulário claro e
conciso para
fornecedores
x x x

Controle de conjuntos
de informações
disponibilizadas
x x x

O módulo Métis da Governança de Cadastros é uma tecnologia própria da


Midas, que já atende às necessidades de conformidade de empresas em
potências como Canadá e China.

Você pode conferir mais sobre ele Clicando aqui!


É fato que a definição das ferramentas que serão usadas na
adequação à LGPD é papel da área de tecnologia. Mas o sucesso
delas depende que toda a empresa entenda o que está em jogo.

Afinal, manter a conformidade à LGPD não é algo que você vai


conseguir manter sozinho!

Educação dos Por isso, promover uma mudança de cultura é essencial para se

colaboradores
adequar ao novo cenário de tratamento de dados. Podemos dizer até
mesmo que essa Lei incita um novo paradigma corporativo.
E a única forma de todos jogarem juntos é dividir conhecimento sobre

Educação dos
a legislação com os colaboradores, da diretoria ao estagiário.

colaboradores
Veja 3 estratégias que você pode começar a usar desde agora para
fazer isso acontecer:
Workshops
Uma forma de fazer o kick-off do projeto de adequação é promover um
workshop sobre a LGPD e as mudanças que ela vai trazer para o dia a dia
da empresa.

Educação dos É uma oportunidade para gestores, equipe jurídica e de TI/cibersegurança

colaboradores frisarem a importância da Lei, os riscos e as oportunidades que ela


representa.
Webinars
Em empresas grandes, com muitas filiais, existe a possibilidade de o
workshop ser realizado via webinar.

Educação dos Ao longo de uma semana, cada dia teria uma transmissão interativa de 1h
via YouTube feita por colaboradores da área de cibersegurança e jurídica.

colaboradores Tudo no maior estilo bate-papo, com explicações sobre algum tema
relacionado à LGPD e as mudanças na prática.
Newsletters
Uma forma simples de enriquecer os conhecimentos de todos é
coordenar o disparo de conteúdos sobre a LGPD, cibersegurança e
tratamento de dados. Veja aqui vários textos do nosso blog para você

Educação dos incluir nesse projeto!

colaboradores O disparo pode ser feito semanalmente ou mensalmente via e-mail ou


WhatsApp.
Se você tem lido bastante sobre a LGPD, já deve ter ouvido falar na figura do
(DPO) Data Protection Officer.

De fato, a base legal da Lei recomenda que as empresas tenham um

A definição
Encarregado de Dados. O texto (artigo 41, § 2) diz especificamente que ele deve:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e

de um DPO adotar providências;


II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Mas quem é esse cara? Ele é um profissional de TI ou um advogado?

A resposta é que ele pode ter os dois backgrounds – a diferença é apenas o


currículo.

A definição No caso do profissional de tecnologia, ele funciona mais como um DPO Interno,

de um DPO
já que o foco é estipular como a empresa lida no dia a dia com dados e com os
sistemas que os armazenam.

Já o advogado é um DPO Externo, que trabalha complementando o interno,


blindando a empresa juridicamente.
Antes de qualquer coisa, é preciso fazer um estudo do papel dos
dados pessoais nas atividades da empresa.

Esse processo começa levantando todos os itens relacionados a


dados pessoais pode ser chamado de data discovery.

Inventariando Essa é a fase mais importante do início à adequação, pois nela


identificamos onde estão os gaps – as brechas na segurança e

informações e privacidade que precisam de atenção.

detectando gaps Dependendo da área de atuação da empresa, você vai ter que
analisar, por exemplo:

- As informações nos softwares usados pela empresa, como o CRM


- Planilhas e tabelas financeiras
- Atividades que captam e utilizam dados pessoais de clientes
O que
procurar?
A Lei Geral de Proteção de Dados considera dado pessoal qualquer

Inventariando informação que possa levar à identificação de uma pessoa de forma


direta ou indireta.

informações e Por exemplo: informações cadastrais como nome, CPF, endereço,

detectando gaps indicadores eletrônicos, hábitos de consumo e até dados de GPS.


Todas essas informações devem entrar no seu data discovery.
Por onde
começar?
A primeira ação que você deve tomar é dedicar uma parte da sua
equipe para o data discovery.

Inventariando A dica é começar por onde você sabe que esse tipo de dado está,

informações e mas conduzir uma análise geral. Você pode se surpreender sobre
como alguma outra área da empresa utiliza dados pessoais em seus
detectando gaps processos.

A partir dessa análise, fica muito mais claro onde estão os gaps
visíveis de privacidade e segurança.

É AÍ QUE ENTRA A TECNOLOGIA QUE COLOCA


A CASA EM ORDEM POR VOCÊ!
Tendo sempre em mãos esta checklist de boas práticas, fica
impossível não manter o nível de segurança e privacidade exigido
pela LGPD:

• Monitorar a segurança da topologia das redes

Bônus! • Mapear os locais de armazenamento de dados


• Implementar boas estratégias de criptografia
• Gerenciar os acessos lógicos
• Monitorar os recursos e equipes de cibersegurança
• Conduzir análises de riscos
• Implementar planos de continuidade dos processos
S O LU T I O N S

midassolutions.com.br

Acompanhe a gente nas redes sociais


e confira muito mais conteúdo!

Você também pode gostar