As mais recentes tecnologias e processos de transformação digital, como e-commerce, marketing digital e inteligência artificial, além da disseminação das próprias redes sociais, levaram os países a buscar formas de regulamentar a relação das empresas com seus cidadãos, garantindo a efetividade de seus negócios, mas preservando a proteção e a privacidade dos dados pessoais.
A regulamentação europeia de proteção de dados, GDPR (General Data Protection Regulation), em seu Art. 24, define que: “o controlador deve implementar medidas técnicas e organizacionais adequadas para garantir e ser capaz de demonstrar que o processamento (significando tratamento de dados pessoais) é realizado de acordo com o presente regulamento”.
Seguindo a mesma linha, a LGPD (Lei Geral de Proteção de Dados – Lei 13.709/2018), em seu Art. 46, prevê que: “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Dentre os princípios observados na Lei, estão a Segurança e a Prevenção, devidamente consagrados em seu Art. 6º e ressaltados em várias circunstâncias em artigos subsequentes.
As empresas em geral, seguindo um padrão histórico, pouco ou nenhum valor deram à segurança de seus ativos de informação, privilegiando mais as funcionalidades dos seus sistemas e aplicativos que, ao final, viabilizavam o sucesso do negócio. As exceções eram aquelas organizações cujo negócio era fortemente dependente da segurança, como nas áreas bancária e financeira, ou que precisavam seguir normas regulatórias, agregando alguns componentes de segurança em seus processos.
Agora, com o advento da Lei, as empresas precisam estar preparadas para o tratamento adequado dos dados pessoais, seja de seus clientes, colaboradores ou outras pessoas com as quais mantenham relações de negócio, e demonstrar esta condição de forma clara e transparente todas as vezes em que forem solicitadas.
Os aspectos relacionados à Segurança da Informação e Privacidade de Dados talvez sejam os mais importantes para as organizações na jornada de adequação à Lei, pelo que representam em complexidade, custo e tempo de implementação.
Uma eventual postergação das ações necessárias para a conformidade com a LGPD, mesmo em um cenário ainda parcialmente afetado pela COVID-19, no qual o foco principal de muitas empresas continua a ser a sobrevivência do negócio, pode resultar em prejuízos financeiros e de imagem para as organizações.
Afinal, casos de vazamento de dados e ransomware são registrados diariamente em todo o mundo, impactando empresas dos mais diferentes portes e áreas de atuação, seja no setor público ou privado.
Assim, a conformidade com a Lei se torna um elemento fundamental para garantir a segurança jurídica tanto das empresas quanto dos consumidores, reduzindo o apetite ao risco e agregando valor competitivo ao negócio.
O tripé Pessoas-Processos-Tecnologia, que respalda o conceito de gerenciamento de processos de negócio de uma organização, está conectado de modo indelével às medidas de segurança, técnicas e administrativas expostas na LGPD.
Partindo do sustentáculo Pessoas, percebe-se que a Capacitação e a Conscientização são fundamentais para garantir que os colaboradores e terceiros conheçam as políticas e procedimentos de segurança da informação adotados pela organização e estejam capacitados para lidar com os riscos e ameaças relacionados às suas funções.
Neste aspecto, é importante criar um programa formal de conscientização e treinamento alinhado com a Política de Segurança da Informação.
A Política, aliás, constitui um dos principais elementos do sustentáculo Processos, no qual se somam as Normas e Procedimentos que envolvem a implementação de controles de segurança, tais como a gestão de identidades e acessos, uso de senhas, uso de ativos de TI, proteção contra malware, política de backup e segurança física e do ambiente, entre outros.
Para permitir a implantação dos processos de segurança no ambiente corporativo, as empresas fazem uso de melhores práticas e estratégicas de governança com base em padrões de mercado conhecidos, como a ISO 27000 (27001, 27002, 27701) e NIST (National Institute of Standards and Technology).
A realização de um Diagnóstico a partir das melhores práticas, demonstra o grau atual de maturidade em segurança da informação da empresa, permitindo estruturar e aplicar as medidas necessárias para evoluir os processos internos até alcançar os níveis mínimos de conformidade.
O terceiro pilar, Tecnologia, está relacionado ao conjunto de ferramentas que irão viabilizar tanto o próprio processo de adequação, como a continuidade da estrutura de privacidade pós-adequação, como Data Mapping, Data Discovery e DSAR (atendimento dos direitos dos titulares).
Além disso, a tecnologia está presente também nas ferramentas de segurança, cuja decisão de implantação decorre tanto da identificação de não conformidades a partir do diagnóstico, como das características e necessidades específicas de cada organização.
Assim, são utilizados recursos como Firewall, DLP (Data Loss Prevention), SIEM (Security Information and Event Management), WAF (Web Application Firewall), VPN (Virtual Private Network) e o uso de criptografia, entre outras, para ampliar o nível de segurança frente às ameaças digitais.
Conforme o exposto, fica suficientemente demonstrada a importância que representam os processos de Segurança da Informação e Privacidade de Dados na jornada de adequação à LGPD, em termos de COMPLEXIDADE, CUSTO e TEMPO DE IMPLEMENTAÇÃO.
Concluindo, não seria arriscado dizer que o esforço (em horas) para a realização de um assessment de LGPD e, especialmente, a implementação do plano de ação dele decorrente, contando eventualmente com a expertise de uma consultoria, representaria cerca de 80% do tempo total do projeto em atividades ligadas à Segurança da Informação e TI, dependendo, é claro, do porte da empresa, da natureza dos dados pessoais e do volume de operações de tratamento.
Por Carlos Roberto Hiltl Swoboda – Consultor em Segurança da Informação