Um dos maiores desafios nas empresas brasileiras atualmente é estar em conformidade com a LGPD.
Já existem algumas soluções que prometem rápida adequação, mas – sempre um “mas” -, todas exigem análise e estudo profundos com relação às exigências de segurança da informação e uma forte mudança comportamental com relação aos procedimentos internos e controles de privacidade.
Mas afinal, por que é necessária a adequação?
A prioridade da lei é o respeito a privacidade; logo as empresas deverão se ajustar e aderir às novas normas e ajustar suas regras de segurança da informação a proteção dos dados de seus clientes. Em linhas gerais, a lei regulamenta o uso, proteção e movimentação de dados pessoais, criando regras para o tratamento dessas informações pelas empresas, sejam elas de qualquer porte e complexidade.
Para a área de TI é um ponto de flexão para o tratamento e guarda dessas informações, sendo necessário a mudança bem forte na maneira de armazenar e proteger contra acessos esses dados pessoais.
Vazamentos dessas informações podem significar até o fim de uma empresa, face a penalidade extrema prevista de 2% do faturamento anual do ano anterior por infração!
O que fazer?
Rever seus processos de segurança contra acessos externos, ajustar sua política de segurança da informação, rever procedimentos de acessos às suas redes e desenvolver uma cultura de segurança que envolva todas as áreas da empresa. É um longo caminho a ser percorrido.
Mas não há motivos para as empresas temerem a lei. Ao contrário, deveria ser visto como uma oportunidade de negócio. Adequar-se à LGPD pode gerar valor, mostrar presença em um mercado competitivo. A LGPD não é uma lei que restringe, mas sim, conduz à inovação. Está propondo proteção a um bem que as empresas possuem: os dados. Isso já deveria ser objetivo da empresa, pois gera dinheiro!
E qual é o caminho a percorrer?
Em primeiro lugar, não existe um caminho mágico a ser percorrido ou um pacote fechado de soluções a ser seguido para atingir a conformidade. Há uma necessidade de comprometimento com mudanças não só comportamentais e estratégicas, mas também técnicas na forma de tratar dados pessoais a partir dessa lei.
Na área de TI, uma forte mudança pode ser necessária para as empresas que não tem grande investimento em soluções de segurança e controle de acesso. Processos deverão ser revistos, formas de acesso à base de dados reforçadas, revisão de controles e nova postura frente ao processo de conformidade com a LGPD.
Além disso, essas regras necessariamente têm de ser estendidas a seus parceiros e fornecedores, tornando mais necessária a avaliação da segurança e controle desses mesmos parceiros e fornecedores. A responsabilidade dos dados dos clientes, continuada sendo da empresa detentora desses dados.
O caminho a ser seguido não é fácil e exige investimento, pois envolve estrutura técnica para guarda dos dados e horas e horas de trabalho de análise e avaliação dentro das empresas, com forte treinamento de seus colaboradores e adoção de novos processos e reeducação cultural. A lei define não apenas as condições de proteção dos dados, mas também o que é feito com os dados (como são guardados, por quem e para que…).
Vamos então listar o que deve ser feito?
– Conscientizar todos os Níveis da Empresa – divulgar e treinar todas as pessoas da empresa. No mínimo, fazer as pessoas conhecerem a lei e sua responsabilidade no processo. Criar uma comissão de Segurança da Informação.
– Mapear Processos de Negócio e Dados Pessoais – analisar os processos de negócio e onde existem dados pessoais e dados sensíveis. Registrar as informações de maneira clara e passível de demonstração aos órgãos responsáveis, com a ANPD.
– Desenvolver/Ajustar Estrutura de Segurança e Privacidade – uma referência para essa estrutura é a norma ISO27001, adicionada a revisão recente ISO27701, orientada para proteção de dados. Aqui devemos criar os padrões de segurança e privacidade, formatando um programa de governança e privacidade.
– Estruturar Políticas de Tratamento e Exclusão de Dados – criar formatos de consentimento de uso de dados. Definir padrão para relatórios de impacto de riscos. Estabelecer regras para exclusão de dados.
– Estabelecer planos para enfrentar ataques e incidentes – caso aconteça um vazamento de informações, o que foi feito para impedir. Que procedimentos foram desenvolvidos para bloquear e corrigir o problema.
Com a regulamentação da agência nacional ANPD, teremos quem dê as coordenadas e diretrizes para que a lei efetivamente funcione. Porém mesmo sem essa regulamentação as empresas já têm de começar seus movimentos em relação à conformidade com a lei, criando estruturas internas ou contratando consultorias para apoiá-las nesse caminho.
O tempo para iniciar é já. O trabalho a ser executado é grande. Mas podemos ajudar no processo. Bom trabalho!