LGPD: Transformando limões em limonada (ou caipirinha), por Fernando Marinho



Sou professor de pós-graduação na UFRJ no Curso de Segurança de Informação. Ano após ano, tenho visto as turmas "encolherem", juntamente com o mercado e trabalho, cada vez mais direcionado para estratégias de virtualização e computação na nuvem, cujos fornecedores apontam para uma solução de economia consistente com o uso e escalabilidade, sem imobilizar investimentos em hardware e software.

Entretanto, essa "economia" fazia as empresas acreditarem que os provedores de serviços (Azure, Google, Amazon...sejam quais forem) seriam também responsáveis pela manutenção da segurança no ambiente corporativo.

Mero engano!

Estes provedores de serviço garantem a segurança da infraestrutura, mas (a princípio) não podem gerenciar o ambiente de seus clientes, por inúmeras razões, dentre as quais destacamos o fato de cada ambiente possuir características de negócios específicas, sistemas e aplicativos próprios, cuja gestão externa poderia acarretar uma falha ou indisponibilidade.

Como resultado, estamos vendo um crescimento orgânico pela demanda de profissionais de Segurança de Informação, cada vez mais necessários para garantir o ambiente de negócios, seja local ou na nuvem, de forma que as ameaças (reais ou virtuais) sejam mantidas à distância.

Para melhorar ainda mais este cenário, vimos ano passado o início da GDPR e em janeiro deste ano a LGPD, cujos requisitos de privacidade exigem um ambiente protegido por, pelo menos, oito itens da Norma ISO 27000, fora as boas práticas assimiladas pelo CobIT e ITiL.

Passados oito meses desde o que a Lei Geral de Proteção de Dados (LGPD) começou a vigorar, a maioria absoluta das empresas ainda têm muito trabalho a fazer, para atender aos seus requisitos de conformidade.

Seja por não acreditar muito no discursos do Governo, esperando uma nova prorrogação do prazo de vigência, seja por preferirem arriscar o pagamento da multa de 2% sobre o faturamento anual, ou ainda, estarem dispostas a sofrer uma fiscalização pelo MPDF (Ministério Público do Distrito Federal) ou, no futuro em breve, pela ANPD (Autoridade Nacional de Proteção de Dados), ao invés de investir esforços e recursos para conformidade.

O que estas empresas não percebem é que existem grandes vantagens comerciais a serem obtidos pela conformidade com a LGPD: Desde a atração de novos clientes (sim, privacidade é um diferencial competitivo, especialmente juto a empresas da Comunidade Europeia) e a retenção de clientes existentes, ao aproveitamento da conformidade com a LGPD em termos de marketing, acredito que os benefícios justificam os investimentos.

Talvez a necessidade de melhorar o controle sobre dados pessoais possa ser obtido através do melhor uso dos recursos de segurança encontrados em sistemas de controle de acesso ou na elaboração de um PCN (Plano de Continuidade de Negócios) "de verdade", testado e acompanhado. Isso pode levar a uma infraestrutura de TI mais segura em geral? Novamente, a resposta aqui é "sim", mais ainda se esses recursos de segurança forem aplicados em toda organização, não se limitando apenas aos dados pessoais.

Pode uma infraestrutura de TI mais segura se tornar um ponto de marketing positivo, mais que da concorrência? Claro que sim! Especialmente se eu souber como divulgar isso.

Os benefícios da conformidade com a LGPD chegam a:

1. Proporcionar um controle melhor sobre os dados. Isso pode ser alcançado através:

a. Da criação de uma função do Encarregado de Dados (o responsável nomeado pela LGPD);

b. Identificando os respectivos proprietários para cada tipo de dado (RH, Compras, Logística, Marketing, etc.);

c. Definindo claramente quem pode criar, acessar e modificar conjuntos de dados específicos (uma função dos proprietários dos dados);


2. Proporcionar melhor proteção de dados (físicos e eletrônicos) pela:

a. Criação de um registro de ativos de dados;

b. Manutenção da limpeza de dados para eliminar a duplicação, criando consistência dos dados e identificando/removendo cópias ilícitas dos dados;

c. Implementando controles de acesso adequados à finalidade, como a aplicação rigorosa do princípio da "necessidade de conhecer";

Avaliações regulares de impacto na proteção de dados (DPIAs).

3. Evidência de "due diligence":

a. A capacidade de 'provar' a devida diligência na conformidade com o LGPD se torna valiosa no caso do pior acontecer, havendo um vazamento de dados pessoais em que acarretasse a aplicação de quaisquer das penalidades previstas.

4. Oportunidades de marketing:

a. A oportunidade de criar uma mensagem de marketing positiva como consequência de poder "provar" a conformidade e a devida diligência.

Como uma empresa comprova a conformidade com a LGPD, para aproveitá-la em termos de marketing? Através de publicidade: são necessárias declarações públicas sobre levar a LGPD à sério, seja no website da empresa ou de sites especializados em segurança/privacidade, ou no material impresso da empresa, por exemplo - mas que também precisam ser apoiadas pela exibição das certificações (ISO, CobIT, ITil, outras) obtidas durante o processo de conformidade.

Embora as políticas e procedimentos relacionados à coleta e manuseio de dados pessoais, principalmente nos processos manuais, sejam importantes para a conformidade com a LGPD, o papel da TI e da segurança da TI é igualmente, se não mais importante, no processo de proteção de dados pessoais.

Um excelente ponto de partida é o "Gap Analysis" (Diagnóstico Situacional) que temos proposto ao mercado como ponto de partida: sem isso, a organização poderá dar início à várias ações descoordenadas que correm o risco de se perderem, realizadas isoladamente.

A pesquisa na Internet e a participação em cursos ministrados por profissionais reconhecidamente capazes, proporcionam suporte e capacitação dos colaboradores que devem ser envolvidos no processo de conformidade. Temos visto o surgimento de cartilhas e guias, publicados por entidades reconhecidamente "neutras" (sem fins lucrativos), que merecem ser consultadas.

Sugerimos muito cuidado ao acessar material de empresas que nunca trabalharam com segurança de informação ou gestão de processos/projetos, antes da criação das Leis de Privacidade: em momentos como este, surgem muitos oportunistas dispostos a faturar sobre a falta de conhecimento, que o mercado tem sobre o tema.

Adicionalmente ao Diagnóstico Situacional sobre o cenário da LGPD, podemos iniciar uma auditoria prévia sobre conformidade aos itens da ISO 27001. Para empresas menores, é recomendável realizar uma autoavaliação de governança do IASME, que inclui perguntas sobre "Cyber Essentials" e a GDPR.

Uma autoavaliação de governança com base no IASME é um excelente ponto de partida para qualquer organização, independentemente de seus planos de conformidade à LGPD.

De qualquer forma, é fundamental registrar que a conformidade à Leis de Privacidade, seja a GDPR ou a LGPD, está intimamente ligada à boa estrutura da segurança da informação, ao apoio da alta gestão e à uma revisão de procedimentos operacionais pelas áreas de negócios, não se tratando de um assunto limitado ao Jurídico ou à TI, sendo multidisciplinar e holístico, na medida em que envolve uma percepção do relacionamento entre os participantes de todo ambiente corporativo.

Meu nome é Fernando Marinho, sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ, UniRIO, Escola de Guerra da Marinha e outros, além de participar de três Grupos de Trabalho na ABNT (Riscos, Continuidade de Negócios e Segurança), também publiquei três livros sobre o que faço.



Fonte: Perfil de Fernando Marinho no Linkedin

Nenhum comentário: