5 melhores práticas para alcançar e manter a adequação à LGPD

Os ataques cibernéticos se tornaram mais sofisticados, deixando o mundo dos negócios preocupado com a segurança dos dados empresariais. Organizações no Brasil já estão se preparando para se adequarem à nova lei de proteção de dados do país, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no dia 15 de agosto de 2020. Alcançar o compliance em relação à LGPD e sustentá-lo será desafiador nas corporações se elas não se equiparem com as estratégias certas de gestão de segurança da informação. Os negócios precisam entender como os dados navegam dentro de suas organizações e seguir as melhores práticas para alcançar e manter a adequação à LGPD.

1. Entenda o básico e refine conforme necessário

Para dominar a gestão de dados, as organizações precisam determinar algumas informações básicas sobre os mesmos. Elas devem estudar os procedimentos de coleta de dados existentes para identificar que tipo de informação está sendo coletada e por quê; como estão sendo processadas; a relevância do que é coletado, seu local de armazenamento, pontos de acesso, e contas com acesso; e os procedimentos de exclusão. Identificar todos esses pontos de contato com os dados e criar um fluxograma ou esquema para eles pode ajudar as empresas a identificarem, analisarem, e resolverem problemas, evitando que eles escalem.

Além de compreender o fluxo existente, as empresas precisam refinar periodicamente seus procedimentos de gestão de dados com base em novas tecnologias e procedimentos que eles têm incorporado. Essa gestão interna pode gerar resultados positivos para a privacidade dos dados.

2. Empregue ferramentas de gestão de segurança de dados

Lidar com informações dispersas pode ser desafiador; no entanto, ter as ferramentas certas pode simplificar essa tarefa e ajudar organizações a alcançarem a adequação à LGPD. Ferramentas de gestão de segurança de dados ajudam a otimizar a coleta, o processamento, o armazenamento, e os procedimentos de exclusão dos mesmos, assim como alertar o time de TI sobre ameaças em potencial ou vulnerabilidades de vazamento de dados. Implementar ferramentas unificadas de gestão de TI que podem administrar arquivos e pastas na rede – além de controlar e garantir a segurança de outros aspectos da infraestrutura de TI – é ainda melhor. Soluções centralizadas que podem fazer a gestão de dispositivos, servidores, usuários, dados, privilégios, acessos, hipervisores, VMs e browsers podem ser muito efetivas para manter a TI da organização operacional, eficiente e dentro da LGPD.

3. Escolha o encarregado de proteção de dados certo

Diferente do Regulamento Geral sobre a Proteção de Dados (GDPR) europeu, a LGPD requer que todas as empresas consideradas controladoras de dados nomeiem um encarregado de proteção de dados, também conhecido como DPO (Data Protection Officer). Apenas com o DPO certo na organização o compliance à LGPD será atingível e sustentável.

Nem todos os profissionais de TI estão preparados para se tornarem DPOs. Antes de selecionar um candidato, as empresas precisam estudar as áreas de interesse do indivíduo, assim como suas habilidades e experiência com gestão de dados. O profissional precisa saber como e por que dados corporativos são coletados de diferentes fontes, e ele deve trabalhar próximo dos times do jurídico e de privacidade para entender as necessidades em constante mudança do mercado e refinar os modelos e políticas de gestão de dados existentes, assim como procedimentos de segurança e auditoria.

O DPO precisa ainda ter conhecimento suficiente sobre várias leis de proteção de dados no mercado para customizar a coleta, o armazenamento, e os procedimentos de exclusão de dados de suas empresas conforme as leis e regulamentações. O profissional deve estar ciente dos procedimentos que precisam ser implementados se houver alguma violação de dados ou outra situação que cause dano aos dados empresariais.

Qualquer DPO em potencial deve ter familiaridade com os passos que limitam os privilégios de usuários a informações sensíveis de negócio para proteger a privacidade dos dados. Assim que selecionar o DPO, a organização precisa definir suas funções-chave, metodologias de relatório e autoridade sobre outros departamentos para uma gestão de dados otimizada.

4. Registre o consentimento de usuário com precisão

A estratégia de gestão de dados existente na organização deve permitir diferenciar os usuários que deram consentimento para o processamento de seus dados pessoais daqueles que não deram. Esse consentimento deve ser registrado, e os dados de cada usuário precisam ser tratados de acordo nos processamentos futuros. Quaisquer desencontros desses registros de consentimento podem levar a uma violação da LGPD.

5. Formule uma estratégia de Disaster Recovery e resposta a violação de dados

As empresas precisam estar preparadas para encarar quaisquer ataques cibernéticos ao rastrear a fonte do ataque e, simultaneamente, estabelecer uma estratégia eficiente de resposta a violação de dados. Se uma organização perde dados pessoais pertencentes a um cidadão brasileiro durante um ataque, precisa reportar o vazamento às autoridades de gestão de dados dentro de um período de tempo aceitável; entretanto, diferente do GDPR, a LGPD não restringe um período de 72 horas para as organizações reportarem violações.

Reportar violação de dados com a LGPD difere do GDPR de algumas outras maneiras. Primeiro, a definição de dados pessoais da LGPD é mais limitada, porque dados anônimos estão isentos dos requisitos da lei, a não ser que os dados sejam usados para caracterização (data profiling). Já que a LGPD não é tão restrita em termos de gestão de dados pessoais, os negócios têm um espaço de manobra nos seus procedimentos de gestão de dados em geral quando comparado com o GDPR, com exceção da estipulação da LGPD sobre os DPOs.

Transferências internacionais de dados pessoais feitas pelos controladores de dados também não são permitidas pela LGPD. Essa restrição põe um nível significativo de pressão nas organizações para que mitiguem as ameaças o quanto antes, já que elas dependem de backups de dados localizados.

As empresas que já redefiniram gestão de dados e políticas de privacidade para se adequarem ao GDPR estão bem preparadas para a LGPD. Seguir as melhores práticas acima irá ajudar os negócios a estarem um passo mais próximo da nova legislação brasileira.

Via CIO