O manual definitivo de adequação à LGPD As melhores práticas para o profissional de TI garantir conformidade total Parabéns!
Você acaba de baixar um material exclusivo que vai
colocar a sua empresa como uma das poucas em todo o Brasil a tomarem iniciativas concretas para adequação à Lei Geral de Proteção de Dados.
Este é um manual definitivo para profissionais de
cibersegurança e TI sustentarem as demandas de privacidade da LGPD e garantirem que a empresa não sofra multas, sanções e brechas na segurança. Neste material, você confere: 1. O ABC da conformidade à LGPD 2. A abordagem Zero Trust e como aplicá-la 3. UX como prioridade 4. As tecnologias que automatizam a conformidade 5. Educando seus colaboradores 6. A definição de um DPO 7. Inventariando informações e detectando gaps
Bônus! 8. Checklist de boas práticas Como não há mais tempo a perder, vamos começar? A alguns meses dela entrar em vigor, a maioria das empresas brasileiras ainda está na estaca zero na jornada pela conformidade. Geralmente, o processo de adequação à LGPD precisa passar pelas seguintes etapas:
Planejamento Avaliação Análise de Gaps Roadmap Implementação Auditoria
Lembrando que a jornada pela conformidade não termina na auditoria. Assim como a entrada de Vamos então dados na empresa, ela precisa ser constante. ao primeiro Depois da auditoria, é essencial voltar à análise de tópico? gap e assim por diante, ou colocamos em jogo todo o trabalho feito pela conformidade. O ABC da Existem 3 princípios que resumem bem a dinâmica que a LGPD exige das empresas e esses pilares devem estar no DNA da sua jornada
conformidade pela conformidade. É o que vamos chamar de ABC da Lei Geral de Proteção de Dados:
à LGPD A. Finalidade Dados devem ser coletados apenas para uma finalidade específica, que deve ser informada ao titular de forma clara. B. Minimização Além disso, devem ser coletados apenas os dados necessários para atingir essa finalidade.
C. Retenção mínima
O ABC da Após atingida a finalidade, os dados devem ser deletados ou
anonimizados.
conformidade Parece relativamente simples de seguir, concorda? Mas como
à LGPD os dados são ativos virtuais de qualquer empresa e têm muito
valor para os trabalhos de Business Intelligence, abrir mão deles não é uma tarefa fácil. O Zero Trust é uma abordagem de cibersegurança cuja premissa é: na proteção dos dados, confiar é se expor a riscos.
A abordagem O objetivo dela é diminuir a superfície de ataques,
Zero Trust reduzir custos gerados por brechas e também facilitar auditorias e o compliance às leis. Para isso, elimina-se o pressuposto da confiança. Qualquer pessoa e qualquer dispositivo devem sempre ser verificados antes de acessar um sistema.
A abordagem Basicamente, o acesso é encarado como um privilégio.
Zero Trust Parece até algo extremo e trabalhoso, mas é uma
postura recomendada para garantir a segurança e a privacidade dos dados estipulada pela LGPD.
O Zero Trust rastreia o acesso aos dados em 4 frentes:
quem, por que, onde e quando. Quem Fazer sempre a verificação de identidade de quem está acessando os dados. Isso inclui não apenas as pessoas, mas quais são os dispositivos que elas usam.
Na prática: Defina a autenticação multifator (MFA ou 2FA) como padrão, já que apenas
A abordagem senhas não são suficientes. E convenhamos, muitas pessoas ainda usam “12345” ou “admin” para acessar seus computadores.
Zero Trust Uma alternativa ainda mais segura é o uso de chaves físicas de baixo custo, que fazem parte do sistema U2F (Universal 2nd Factor). É o método que o Google usa.
Ela permite que o usuário conclua o login inserindo a chave no computador e
apertando um botão, como se estivesse destravando um cofre. O que significa que mesmo que se uma senha for roubada, ela não servirá de nada sem a chave. Por que Para cada acesso concedido é importante saber antes por que alguém precisa dele.
A abordagem Na prática: O responsável pela liberação precisa saber o contexto por trás do pedido
Zero Trust para permitir o acesso a um determinado sistema ou grupo de dados.
Dessa forma, ele concede o acesso apenas aos caminhos necessários. Onde Talvez essa seja a parte mais exigente do Zero Trust. Ela estipula que o acesso a um grupo de dados precisa acontecer em um ambiente próprio para isso.
A abordagem Na prática:
Zero Trust O computador que as pessoas usam para trabalhar precisa passar pela constante aprovação da equipe de cibersegurança ou TI. Quanto Na sua empresa existe uma quantidade limitada de salas que você pode entrar sem bater antes, certo? A mesma lógica se aplica ao acesso aos dados.
Ou seja, um colaborador não pode ter passe livre a todos os arquivos da
empresa.
A abordagem Isso expõe a corporação a invasores, que ao roubarem um login por meio de phishing, por exemplo, avançam lateralmente pelo servidor até onde estão os
Zero Trust dados sensíveis.
Na prática: Limitar o acesso a apenas o que o colaborador precisa para trabalhar. Se alguém precisar de informações extras, o acesso deve ser monitorado e temporário.
Isso torna a infraestrutura do servidor invisível, microssegmentando os ativos
virtuais. A verdade é que mesmo com sistemas aparentemente blindados, sempre há a possibilidade de um data breach.
Isso porque os hackers formam uma comunidade criativa e inescrupulosa, e
muitas empresas não estão conseguindo dar conta de acompanhar a
A abordagem sofisticação dos invasores.
O número de ciberataques disparando no mundo todo é prova disso.
Zero Trust E além de um grande dano à imagem e às atividades das corporações, sabemos que um vazamento de dados resulta em multas milionárias pela LGPD. Você deve ter reparado que as leis de proteção de dados criadas no
UX como mundo todo têm como prioridade máxima os desejos do usuário.
prioridade E isso quer dizer que para as empresas manterem a conformidade a
essas leis, a user experience também precisa ser uma prioridade delas.
Para isso, um bom trabalho de UX precisa começar no respeito e na
transparência. O que significa que a empresa precisa deixar claro, de forma simples e objetiva, por que está pedindo os dados daquela pessoa, como eles serão usados, quem terá acesso a eles e até quando eles ficarão no database.
UX como Além disso, a empresa precisa estar pronta para executar comandos e deletar os dados quando o titular quiser. E claro, garantir a segurança das
prioridade informações dele.
Afinal, em caso de um ciberataque, são os dados do usuário que vão parar
na mão dos criminosos e no mercado negro.
A QUESTÃO É QUE A SUA EMPRESA PODE
SER RESPONSABILIZADA POR ISSO. O grande problema é fazer isso no dia a dia e em larga escala sem consumir cada segundo da equipe de tecnologia.
Pensando nisso, estruturamos um quadro comparativo com algumas
UX como soluções que o mercado disponibiliza para fazer a gestão automática das exigências da LGPD como notificação em caso de vazamento,
prioridade consentimento massivo e exclusão de dados. Já existem soluções no mercado que lidam automaticamente com as
Tecnologias exigências da LGPD.
que automatizam Confira um quadro comparativo das
tecnologias já oferecidas para a conformidade fortalecer o seu ambiente de dados: Funcionalidades Módulo Métis Solução B Solução C Solução D
✓ Envio em massa de formulário de consentimento x x x
✓ x ✓ ✓ Parametrização de acesso a dados
Limitação de volume de dados acessados ✓ x ✓ x Histórico de atividades ✓ ✓ ✓ x Rastreio de cada ação ✓ ✓ x ✓ Notificação automática de autoridades ✓ ✓ ✓ ✓ Notificação automática de titulares ✓ x x ✓
✓ x x x Tecnologias Portal para titulares solicitarem exclusão
Anonimização de dados ✓ ✓ x ✓ que automatizam Cadastro automático de fornecedores ✓ x x x
a conformidade ✓ Formulário claro e conciso para fornecedores x x x ✓ Controle de conjuntos de informações disponibilizadas x x x
O módulo Métis da Governança de Cadastros é uma tecnologia própria da
Midas, que já atende às necessidades de conformidade de empresas em potências como Canadá e China.
Você pode conferir mais sobre ele Clicando aqui!
É fato que a definição das ferramentas que serão usadas na adequação à LGPD é papel da área de tecnologia. Mas o sucesso delas depende que toda a empresa entenda o que está em jogo.
Afinal, manter a conformidade à LGPD não é algo que você vai
conseguir manter sozinho!
Educação dos Por isso, promover uma mudança de cultura é essencial para se
colaboradores adequar ao novo cenário de tratamento de dados. Podemos dizer até mesmo que essa Lei incita um novo paradigma corporativo. E a única forma de todos jogarem juntos é dividir conhecimento sobre
Educação dos a legislação com os colaboradores, da diretoria ao estagiário.
colaboradores Veja 3 estratégias que você pode começar a usar desde agora para fazer isso acontecer: Workshops Uma forma de fazer o kick-off do projeto de adequação é promover um workshop sobre a LGPD e as mudanças que ela vai trazer para o dia a dia da empresa.
Educação dos É uma oportunidade para gestores, equipe jurídica e de TI/cibersegurança
colaboradores frisarem a importância da Lei, os riscos e as oportunidades que ela
representa. Webinars Em empresas grandes, com muitas filiais, existe a possibilidade de o workshop ser realizado via webinar.
Educação dos Ao longo de uma semana, cada dia teria uma transmissão interativa de 1h via YouTube feita por colaboradores da área de cibersegurança e jurídica.
colaboradores Tudo no maior estilo bate-papo, com explicações sobre algum tema relacionado à LGPD e as mudanças na prática. Newsletters Uma forma simples de enriquecer os conhecimentos de todos é coordenar o disparo de conteúdos sobre a LGPD, cibersegurança e tratamento de dados. Veja aqui vários textos do nosso blog para você
Educação dos incluir nesse projeto!
colaboradores O disparo pode ser feito semanalmente ou mensalmente via e-mail ou
WhatsApp. Se você tem lido bastante sobre a LGPD, já deve ter ouvido falar na figura do (DPO) Data Protection Officer.
De fato, a base legal da Lei recomenda que as empresas tenham um
A definição Encarregado de Dados. O texto (artigo 41, § 2) diz especificamente que ele deve:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
de um DPO adotar providências;
II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Mas quem é esse cara? Ele é um profissional de TI ou um advogado?
A resposta é que ele pode ter os dois backgrounds – a diferença é apenas o
currículo.
A definição No caso do profissional de tecnologia, ele funciona mais como um DPO Interno,
de um DPO já que o foco é estipular como a empresa lida no dia a dia com dados e com os sistemas que os armazenam.
Já o advogado é um DPO Externo, que trabalha complementando o interno,
blindando a empresa juridicamente. Antes de qualquer coisa, é preciso fazer um estudo do papel dos dados pessoais nas atividades da empresa.
Esse processo começa levantando todos os itens relacionados a
dados pessoais pode ser chamado de data discovery.
Inventariando Essa é a fase mais importante do início à adequação, pois nela
identificamos onde estão os gaps – as brechas na segurança e
informações e privacidade que precisam de atenção.
detectando gaps Dependendo da área de atuação da empresa, você vai ter que analisar, por exemplo:
- As informações nos softwares usados pela empresa, como o CRM
- Planilhas e tabelas financeiras - Atividades que captam e utilizam dados pessoais de clientes O que procurar? A Lei Geral de Proteção de Dados considera dado pessoal qualquer
Inventariando informação que possa levar à identificação de uma pessoa de forma
direta ou indireta.
informações e Por exemplo: informações cadastrais como nome, CPF, endereço,
detectando gaps indicadores eletrônicos, hábitos de consumo e até dados de GPS.
Todas essas informações devem entrar no seu data discovery. Por onde começar? A primeira ação que você deve tomar é dedicar uma parte da sua equipe para o data discovery.
Inventariando A dica é começar por onde você sabe que esse tipo de dado está,
informações e mas conduzir uma análise geral. Você pode se surpreender sobre como alguma outra área da empresa utiliza dados pessoais em seus detectando gaps processos.
A partir dessa análise, fica muito mais claro onde estão os gaps visíveis de privacidade e segurança.
É AÍ QUE ENTRA A TECNOLOGIA QUE COLOCA
A CASA EM ORDEM POR VOCÊ! Tendo sempre em mãos esta checklist de boas práticas, fica impossível não manter o nível de segurança e privacidade exigido pela LGPD:
• Monitorar a segurança da topologia das redes
Bônus! • Mapear os locais de armazenamento de dados
• Implementar boas estratégias de criptografia • Gerenciar os acessos lógicos • Monitorar os recursos e equipes de cibersegurança • Conduzir análises de riscos • Implementar planos de continuidade dos processos S O LU T I O N S
