Adequação à LGPD vai além do aspecto jurídico e deve envolver gestão de TI

Conheça os quatro passos fundamentais para entrar em conformidade com a legislação de proteção de dados

A Lei Geral de Proteção de Dados (LGPD) entra em vigor em agosto de 2020, mas desde que foi aprovada, em 2018, tornou-se uma das principais preocupações de empresas de todos os setores. Em um primeiro momento, a maioria viu na legislação um desafio jurídico, mas muitas já perceberam que o cerne da adequação está na gestão de TI e da segurança da informação.

Não bastassem as complexidades do projeto aprovado na Câmara e no Senado, a sanção presidencial de julho de 2019 (Lei 13.853/2019) que cria a Autoridade Nacional de Proteção de Dados, incluiu vetos que modificam o texto original. No caso de infração da empresa, as mudanças anulam a possibilidade de interrupção parcial e também da proibição parcial ou total do funcionamento do banco de dados. Outro veto atingiu as regras para a revisão de decisões automatizadas, como aquelas sobre a retirada de conteúdos das mídias sociais ou análise de crédito online. A LGPD conferiu direito ao cidadão de solicitar a revisão de seus dados por uma pessoa, o que não é mais uma obrigação para as empresas com a nova sanção.

Baixe gratuitamente o report exclusivo Segurança da informação além da LGPD.

Para Carlos Carrilho, especialista em segurança da 2S, as lideranças de negócio devem se atentar à adequação dos processos e tecnologias para estar em conformidade com a LGPD. “Além das sanções legais, a lei prevê que as empresas reportem a ocorrência de eventuais vazamentos e expliquem como os dados foram tratados. É, portanto, crucial ter governança sobre o tema, sob responsabilidade ou, no mínimo, com envolvimento do departamento de TI e participação do negócio como um todo”, explica.

Carrilho indica quatro passos para que a gestão de TI conduza o processo de adequação à LGPD dentro das organizações:

1 – Mapear quais dados do cliente são cruciais para o negócio

Essa etapa deve ser conduzida com o apoio das áreas de negócio, já que a TI precisará mapear os dados fundamentais que devem ser coletados para garantir a operação. Esse procedimento é necessário porque, de acordo com a lei, o uso que a empresa fará do dado coletado deve ser uma informação explícita para o titular.

2- Entender os processos da empresa em relação à coleta de dados

A empresa precisa verificar se a coleta dos dados ocorre de forma correta, se o consentimento do cliente está claro e todos os demais processos que envolvem a captação de dados. Os termos de aceite são elaborados pelo departamento jurídico, mas a gestão de TI deve conhecê-los e compreendê-los a fim de adequar a tecnologia existente.

3- Ampliar a maturidade de gestão de dados da empresa

Existem quatro níveis de maturidade de gestão de dados nas organizações: o nível 1 consiste na análise a partir de documentos físicos; no nível 2, a avaliação é feita a partir de documentos eletrônicos; o nível 3 inclui a utilização parcial de data analysis; e o nível 4 sugere a implementação de data analysis em toda a empresa. É imprescindível verificar em qual estágio a organização se encontra e adequar a proteção dos dados de acordo com ele. Ao mesmo tempo, planejar a ampliação dessa maturidade irá criar controles mais sofisticados de segurança da informação.

4- Garantir que a infraestrutura está preparada

A infraestrutura existente deve ser avaliada pela TI para garantir que é capaz de suportar a nova categoria de armazenamento exigida pela LGPD. Devem ser verificados aspectos que envolvem o formato de guarda do dado até as autorizações de acesso, reforçando a segurança em cada um deles.

Gargalos

O especialista da 2S destaca um equívoco comum da gestão de TI em relação à segurança dos dados: a preocupação apenas com a proteção do perímetro. “É necessário, sim, tomar cuidado com quem está de fora e tenta invadir a base de dados. Mas é muito comum que não se olhe para dentro de casa, e ataques podem começar internamente.”

Para evitá-los, é preciso um rígido controle de acesso à rede, com autorizações concedidas pela gestão de TI, tanto no caso de profissionais de diferentes departamentos quanto no de visitantes. É necessário também treinar todas as equipes, inclusive com testes surpresa para usuários. Um exemplo é o envio de um link duvidoso por e-mail e, caso o colaborador clique, seja chamado para uma capacitação – sem qualquer viés punitivo, mas sim educativo.

Carrilho acredita que a adequação completa à LGPD depende da mudança de cultura da organização e, mais que isso, da criação de uma cultura de segurança da informação que permeie todas as atividades da companhia. Mas alerta: as empresas, em especial as pequenas e médias, ainda estão distantes dessa realidade. “A lei é para todos, mas é preciso amadurecê-la dentro das organizações. O departamento jurídico está alinhado, mas a TI ainda não compreende aquilo que é de sua responsabilidade. E é preciso fazer isso com urgência, inclusive, com o apoio de consultores de tecnologia externos”, garante.

Leia mais:

Conectividade: os desafios de levar tecnologia a lugares remotos