Escolar Documentos
Profissional Documentos
Cultura Documentos
LGPD - Docx LIKEDIN
LGPD - Docx LIKEDIN
Percebe-se que com o advento da LGPD (lei 13.709 – Lei Geral de Proteção de Dados
Pessoais), houve um aumento da preocupação das empresas com o Consentimento, que
atualmente deve ser concedido pelo titular de dados de forma clara, inequívoca, consciente,
e contemplando uma finalidade pré determinada e limitada.
Contudo, considero que ainda vai levar um tempo para algumas empresas perceberem que a
lei contempla muitos outros pontos que, ouso dizer, são mais relevantes do que a
preocupação com a formalização do consentimento.
O risco de vazamento de dados deve ser visto com seriedade pelas Companhias, pois
mesmo que haja consentimento do titular, o vazamento pode gerar grandes prejuízos para a
Organização. Como já ouvi por diversas vezes em eventos de proteção de dados, tratando-se
de vazamento de dados, a questão não é “se”, mas “quando”. Dai a importância das
empresas se prepararem adequadamente, preocupando-se igualmente em estar em
conformidade com todos os demais princípios e pontos previstos na lei.
Embora ainda existam muitos pontos emblemáticos e que levantam dúvidas quanto a sua
aplicação, a lei é bastante didática na maioria dos pontos expostos. Mesmo tendo a sua
previsão de vigência para daqui um ano (fevereiro de 2020), é importante que as empresas
entendam os ganhos de estar na vanguarda e que todo o tempo pode ser pouco para garantir
a adequação da empresa e evitar riscos e exposições negativas.
Tem havido muitas discussões sobre a LGPD, principalmente no que se refere a sua
implementação no ambiente corporativo, e muitos têm se questionado: Por onde começar?
1) Considero que, assim como todas as temáticas relacionadas a GRC, um dos principais
pontos é o patrocínio da Alta administração. Nenhuma iniciativa ou ação realizada dentro
de uma empresa pode ser completamente efetiva e atingir sua finalidade sem o
envolvimento da Alta administração. Contudo, sabe-se que nem sempre é fácil convencer e
engajar os dirigentes de uma Companhia, principalmente tratando-se de iniciativas que irão
envolver esforços e investimento financeiro. Então, como fazer?
Para elaborar o relatório, é possível seguir a metodologia 5W2H (What, Why, When, Who,
Where, How, How much):
Também podemos nos valer de argumentos relacionados aos riscos que serão minimizados
e, consequentemente, os gastos que serão evitados. Em casos de vazamento a empresa pode
perder valor de mercado, ter sua reputação impactada negativamente e perder sua
confiabilidade. Além disso, explicitar as multas as quais a empresa estará sujeita com a não
adequação pode ser um ótimo argumento, como o ressarcimento das vítimas ou multas
administrativas previstas na lei que podem chegar a 2% do faturamento ou
R$50.000.000,00.
Algumas pesquisas e relatórios anuais feitos por algumas organizações podem auxiliar na
escolha de argumentos, como é o caso do Ponemon Institute que informa os custos das
empresas com o Data Breach.
- How: Quais são os requisitos que deverão ser cumpridos? Qual o plano, ou seja como a
empresa poderá concretizá-los?
Nos próximos artigos serão abordados os demais passos para a implementação da LGPD.
Até lá!
(Parte 2 - Mapeamento)
No primeiro texto desta série, discutimos um pouco sobre o convencimento da Alta
administração quanto a importância e implementação do Programa de Compliance Digital e
do papel do DPO neste processo. Neste texto, iremos tratar um pouco de uma importante
etapa: o mapeamento.
Assim como qualquer atividade relacionada a gestão de riscos, o mapeamento é uma das
principais, senão a principal, ação que deve ser adotada no início de um projeto. Na
implementação de um programa de Compliance Digital (LGPD) não seria diferente e,
portanto, o mapeamento aparece como terceiro passo a ser realizado em um projeto de
proteção de dados:
3) Mapeamento:
É importante que a empresa possua conhecimento de sua estrutura atual e de seu nível de
maturidade no que se refere a proteção de dados. Para isso deve-se iniciar o projeto
realizando um mapeamento dos dados, atores envolvidos em seu tratamento, estrutura de
segurança e controles:
3.1) Mapear e inventariar quais dados são tratados pelo Controlador (empresa):
- Compreendendo o fluxo dos dados (cliclo de vida): Quais os canais de entrada dos dados?
Para qual finalidade eles são coletados? Em que local são armazenados?
Este ponto é bastante relevante, levando-se em consideração que a maioria das Companhias
ainda possuem seus dados em planilhas distribuídas pelas áreas, em nuvens e outras
ferramentas. Apenas cerca de 10% das empresas possuem bancos de dados consolidados,
centralizados e estruturados.
- Qual é o perfil dos usuários que tem acesso ao banco de dados? Como é feita a gestão de
acessos? Quais usuários possuem perfil Admin? Qual o controle para estes usuários?
3.4) Mapear e compreender o contexto do negócio, e identificar até que ponto a lei se
aplica. Pode ser realizado mediante reunião de brainstorm, com equipes que tenham acesso
e/ou necessitem de dados pessoais em suas operações (Marketing, vendas, comercial, RH).
É importante identificar qual critério da lei se aplica a sua empresa e/ou áreas envolvidas no
tratamento: quando a finalidade for atingida/alcançada; quando os dados deixarem de ser
pertinentes ou necessários; mediante solicitação do titular; quando uma autoridade nacional
assim o determinar etc.;
- Como os dados serão descartados? Quem será responsável pelo descarte?
Vale destacar que será necessário formalizar o descarte, mediante documentação que
contemplará a descrição dos dados descartados, quando e o motivo do descate.
No próximo texto desta série, iremos abordar o processo de identificação e avaliação dos
riscos, a definição de mecanismos de segurança (e algumas melhores práticas), mecanismos
administrativos e treinamentos.
Até lá!
Neste série de artigos sobre a LGPD, discutimos alguns passos que integram um plano de
implementação da Lei e de um Programa de Compliance Digital. Nos textos anteriores
apresentamos a importância do comprometimento da Alta administração, assim como do
processo de mapeamento do cenário e estrutura da Companhia (você pode dar uma olhada
nos conteúdos aqui e aqui).
Exemplos de medidas:
- Realizar risk assessment e utilizar metodologias de riscos de TI, como o NIST,
ISO 27001 e COBIT;
7.3) Elaborar e/ou revisar contratos com colaboradores e terceiros que impliquem no
processamento de dados (operadores). Analisando pontos necessários (duração do
armazenamento, natureza e tipo dos dados que serão processados, finalidade da coleta dos
dados);
Vale lembrar que a LGPD não se refere apenas a dados no formato digital, mas em
qualquer formato, sendo necessária a adoção de medidas preventivas também no que se
refere ao tratamento e armazenamento de documentos físicos e/ou offline.
Muitos dos ataques não são simples invasões, mas são ataques direcionados, os quais
contam também com estratégias de engenharia social. Por isso, é importante implementar
um calendário de treinamentos relacionados a temática: Educar e
conscientizar, incentivando a adoção de boas práticas e a mudança na cultura interna
(através de treinamentos periódicos, por exemplo) e externa.
8.2) Conscientização: educação digital sobre o uso consciente do ambiente digital. Assim
como situações, formas de uso de dados, dispositivos e pessoas autorizadas para o
compartilhamento, visando especificar situações que podem expor a empresa a riscos.
Assim como os impactos que o descumprimento pode acarretar a empresa e aos
colaboradores;
Até lá.
Depois de investir tempo e recursos financeiros, é importante que a empresa tenha meios
para assegurar os esforços adotados, bem como que o Programa seja vivo e sempre
direcionado para um ciclo de melhoria contínua, objetivando "assegurar" a sua efetividade e
evitar que todos os esforços tenham sido em vão.
- A descrição das atividades de processamento de dados que podem gerar riscos aos
titulares de dados;
Embora a lei ainda não preveja, é importante que a empresa já se antecipe, e adicione
evidências a este relatório. (Isso irá facilitar a elaboração da notificação quando da
ocorrência de um incidente).
12) Estabelecer planos de respostas a incidentes (que deve ser formalizado em uma política
interna de tratamento de incidentes);
Caso um incidente ocorra, é importante que a equipe envolvida na gestão da crise já esteja
preparada para lidar com a situação, ciente de todos os riscos e das etapas que não podem
ser negligenciadas. Como exemplo, é importante que a empresa tenha ciência de que nem
sempre a área de TI deve ser envolvida na investigação da ocorrência, uma vez que estes
funcionários podem estar envolvidos. Nestes casos, recomenda-se a realização de uma
investigação externa.
- A empresa deverá enviar o relatório em tempo razoável ou terá que expor e
comprovar o motivo da demora. Caberá à Companhia, demonstrar que o tempo utilizado foi
razoável, dai a importância de a empresa possuir um modelo pré elaborado, contendo parte
das informações, visando agilizar a elaboração do report final;
- As medidas que foram ou que serão adotadas para reverter ou minimizar os danos do
incidente;
É importante que o DPO, assim como a área de Risco, estejam envolvidos em todos os
projetos de TI, principalmente aqueles que tratem de inovações, visando garantir a
conformidade com a lei, e a implementação dos controles adequados.
Isto por que é muito comum que no processo de desenvolvimento de um sistema, alguns
ajustes sejam feitos pelos desenvolvedores que, sem ter conhecimento total dos riscos
envolvidos, podem tornar o sistema real bastante diferente do que está descrito na
documentação. Dai a importância de treinar adequadamente a equipe de desenvolvimento e
manutenção dos sistemas, visando favorecer que todas as ações sejam realizadas by
design (o que irá minimizar possíveis bugs e favorecer o cumprimento do princípio da
LGPD referente a necessidade).
Também se faz relevante que os desenvolvedores tenham a consciência de que não é uma
prática recomendada realizar testes no ambiente de homologação com a base de dados real,
de modo a minimizar a exposição a vazamentos.
Assim como o monitoramente de qualquer tipo de risco, e importante que a empresa defina
indicadores que possibilitem o acompanhamento da efetividade das medidas e ferramentas
de data protection adotadas. Pode ser interessante, por exemplo, que a empresa possua um
inventário de acessos, em que o próprio sistema crie um histórico dos acessos e ações
realizadas pelos usuários.
O desafio da LGPD é grande, mas ao meu ver não faltam profissionais qualificados e
interessados em auxiliar as empresas nessa nova fase. Espero que a compilação dos meus
estudos tenha sido proveitosa para aqueles que acompanharam os artigos e até o próximo
assunto!