No início do mês, a Comissão Mista aprovou o relatório sobre a Medida
Provisória 869/2018, que cria, como órgão público federal, a Autoridade
Nacional de Proteção de Dados (ANPD). O Ofício do Presidente do Congresso
encaminhando a matéria para apreciação pela Câmara já foi lido e será encaminhado
para deliberação naquela casa. Posteriormente, a matéria subirá ao Senado para
ser votada e, finalmente, encaminhada à sanção presidencial.
Ulysses Alves de Levy Machado, coordenador-geral de Segurança da
Informação do SERPRO, participou de duas audiências públicas em todo esse
processo, uma antes da aprovação do texto da Lei e outra no mês passado, quando
da discussão sobre as mudanças formuladas pela MP 869. Ele acredita que o texto
aprovado dialoga com a comunidade de Segurança da Informação e que as pessoas
serão as principais responsáveis por fazer com que as coisas caminhem como
desejado.
Em entrevista à Security Report,
ele destaca como a ANPD pode atuar daqui pra frente e lista as melhores
práticas para empresas brasileiras entrarem na pauta da Lei Geral de Proteção
de Dados.
Security Report: Você acredita que as ações
realizadas no Congresso nesses últimos meses atendem às necessidades da
comunidade brasileira de Segurança da Informação?
Ulysses Machado: Sim, entendo que a maior parte do parecer
emitido pelo Relator dialoga com a vontade da comunidade que integrou o debate
sobre a implementação da LGPD. Mesmo que haja queixas de setores mais
protetivos que entendem pela necessidade de haver maior rigor e maior
proximidade ao nível de proteção praticado pelo modelo europeu do GDPR. De
qualquer forma, entendo que o texto endossado pelo Relator atinge um bom nível
de consenso.
SR: A Autoridade Nacional de Proteção de
Dados já nasce com poder para exercer a função pela qual foi destinada?
UM: As principais discussões giraram em torno de alterações que foram
consideradas um “retrocesso” da Medida Provisória. Supressões que, segundo
alguns, teriam “desempoderado” a ANPD ou que abordariam indevidamente aspectos
de segurança pública.
Entendo que isso não ocorreu e que a Autoridade, apesar de nascer como
um órgão e não como uma Agência, como temos na perspectiva de hoje, não nascerá
desprovida de poder. Ao contrário, entendo que atuará com poder e razoável
autonomia, para que, como propõe o próprio Relator, em um segundo momento, se
transforme em uma Agência.
SR: A criação da Autoridade vai fazer, de
fato, a Lei funcionar bem no Brasil?
UM: Na minha opinião, quem fará a Proteção de Dados & Privacidade
(PD&D) funcionar seremos nós, súditos da Lei, a exemplo do que ocorreu com
o Código de Defesa do Consumidor. A autoridade é uma ferramenta importante e os
controladores e operadores têm um papel fundamental no sucesso do adequado
tratamento. Mas quem fará com que as coisas caminhem como desejado, no novo
paradigma, com proteção de dados e adequado fluxo informacional, seremos nós,
mesmos. As pessoas naturais.
SR: Empresas e pessoas estão preparadas para
tratar devidamente esse assunto? Quais são os principais desafios?
UM: O principal desafio é superar a barreira da dificuldade no tratamento
de risco, pela forma condizente com as melhores práticas e se adequar a
procedimentos como análise de impacto no negócio, na privacidade, plano de
continuidade, adequado disaster recovery, implementação de equipes de resposta
a incidentes, entre outras demandas.
É preciso, ademais, fazer um exaustivo trabalho de levantamento de dados
em cada uma das organizações do sistema, identificando origem, coleta,
titularidade, controles, identificação de fluxo de dados e todo esse conjunto
de autoconhecimento e conformidade, especialmente na implementação de adequadas
governanças (corporativa, de Segurança da Informação, de TI, de privacidade, de
dados, etc), antes da implementação.
SR: Quais tecnologias você destacaria para
esse processo?
UM: O que precisa ser feito é estabelecer o adequado uso sistematizado das
ferramentas que já existem no mercado e nas organizações. Não existe uma
“ferramenta de LGPD” ou um “sistema computadorizado de GDPR”.
Vejo boas perspectivas na implantação integrada de diversas soluções já
existentes, em prol do resultado (ferramentas de risco, de conformidade, de
identificação de dados, de correlação de eventos, firewalls de aplicação, etc).
SR: Falando em melhores práticas, por onde os
profissionais podem começar essa jornada de conformidade?
UM: Começaria por um rigoroso levantamento documentado dos dados e do fluxo
dessas informações. Além de:
- Elaborar um programa de privacidade englobante de toda a organização;
- Designar um Encarregado;
- Criar uma política de proteção de dados e privacidade, além da privacidade externa;
- Produzir treinamento do quadro funcional, inclusive dos agentes que não tratam dados pessoais;
- Desenvolver uma estratégia de comunicação interna e externa completa, incluindo o titular e com órgãos externos: ANPD e Ministério Público;
- Incorporar a análise de riscos e de impacto no quotidiano da organização;
- Seguir um modelo de DPIA específico para atender à demanda da ANPD;
- Automatizar esses processos de forma convencionada na organização.
E o mais importante é o envolvimento do alto nível da organização. Se
ele não compreender a importância e gravidade dessa mudança de paradigma,
ninguém na organização compreenderá. O gestor só acordará da letargia com a
aplicação da primeira sanção pela autoridade constituída.
Fonte: Security Report
Fonte: Security Report
Nenhum comentário:
Postar um comentário