Precisando testar sua segurança digital?
Fale com a gente!

BLOG

Existe uma bala de prata para a Lei Geral de Proteção de Dados?

POR:

Haline Farias

A Lei Geral de Proteção de Dados (LGPD), lei nº 13.709 entrou em vigor em 18 de setembro de 2020, mas…e agora? O que fazer?

Primeiramente, as soluções disponíveis são inúmeras, desde produtos para controle dos processos e tarefas necessárias, treinamentos específicos, consultorias, demanda por profissionais para o papel de encarregado de dados (DPO), até soluções tecnológicas para proteção dos dados, redes e aplicativos.

Os diretores se questionam sobre como investir e o que fazer para preparar a empresa da melhor forma. Concomitantemente, a pandemia gerou uma crise de caixa em muitas empresas e menos recursos para despender com a sua segurança de dados.

Além da LGPD, os recentes documentários sobre privacidade, tais como privacidade hackeada (The Great Hack) e dilema das redes (The social Dilemma), ambos da Netflix, trouxeram ao conhecimento público, os riscos de disponibilizar dados sem controle para os diversos serviços de tecnologia.

A ANPD e os riscos jurídicos

A ANPD recém instituída, e cujas indicações do Conselho Diretor foram recentemente aprovadas, será a responsável por elaborar diretrizes, normatizar e zelar pela proteção dos dados pessoais, para a diretoria foram indicados membros com histórico de governança de dados e segurança da informação. Assim, existe a previsão na Lei de sanções e multas para empresas que não realizarem a correta utilização dos dados e a devida proteção dos mesmos.

Foram indicados, 3 profissionais com experiência técnica, todos militares, Waldemar Goncalves, militar formado pelo IME e atual presidente da TELEBRAS, Joacil Bacilio, também militar, formado pelo IME e com doutorado em ciência da computação e Arthur Pereira Sabbat, militar com pós-graduação em segurança da informação, além de 2 advogadas, Miriam Wimmer, advogada, servidora na ANATEL e com atuação no Comitê Gestor da Internet (CGI) e Nairane Leitão, advogada com especialização em privacidade e proteção de dados.

Além da ANPD, é importante ressaltar que os tribunais poderão receber demandas judiciais de pessoas físicas e jurídicas que se considerem prejudicadas, face a nova legislação, independente das auditorias e normas da ANPD. Ademais, o Procon também poderá notificar diretamente qualquer empresa baseada na nova lei. Além disso, o Ministério Público do Distrito Federal já possui uma equipe específica para tratar desses temas, tendo iniciado algumas demandas recentemente.

O valor dos dados

“Os dados serão o próximo petróleo”, a expressão já virou realidade: entre as empresas com mais receita no mundo, temos mais companhias de tecnologia do que de petróleo. Dessa forma, os dados são utilizados para segmentar pessoas e entregar conteúdos direcionados para cada público-alvo, prática muito comum em mecanismos de publicidade on-line e que contribui para gerar grandes receitas para seus detentores.

As Adtechs

Empresas como Google e Facebook, com funções diferentes para os usuários, têm em comum sua forma de monetização. Elas utilizam os anúncios patrocinados, uma forma das empresas conseguirem investir exatamente no público-alvo. Isto é, publicidade on-line direcionada para públicos específicos, uma combinação dos perfis do usuário. Até 10 anos atrás, você ficaria muito satisfeito com uma publicidade que fornecesse somente filtros de localização, sexo, idade e poder aquisitivo. Atualmente, existe à disposição filtros sobre gostos específicos, como vinho ou cerveja, sobre hobbies, preferências musicais, inclinação política e mais uma infinidade de possibilidades.

As regulamentações de privacidade tomaram maior importância devido ao uso massivo dos dados pelas Adtechs e geraram um movimento que culminou nas inúmeras legislações (GDPR-Européia, LGPD-Brasileira, dentre outras).

As empresas brasileiras

Algumas das maiores empresas brasileiras já possuíam processos de governança e segurança da informação robustos. Bancos e seguradoras, por exemplo, usam equipes de governança, privacidade e risco e sistemas seguros, para inibir fraudes e perdas financeiras.

Outras empresas possuem certificações e acreditações em outras áreas, como na saúde (HIMS, ONA, Joint Comission International) ou outros segmentos com certificações de governança e qualidade (ISO, Cobit, ITIL, SOC, COSO, SOX, PCD-DSS, Seis Sigma e gestão de projetos). Portanto, cada uma destas certificações, ajuda na maturidade da organização gerando processos mais transparentes, maior gestão e controle, segurança e estabilidade de seus dados.

Em contrapartida, as pequenas e médias empresas, com níveis de maturidade muito diferentes, ainda não abordam em sua maioria os processos e governança de forma estruturada. Não possuem investimentos em equipe de segurança da informação, processos, governança e riscos, tão pouco acesso à escritórios de advocacia. Nestes, de fato a tentativa de adequação à LGPD deve ser mais direta.

 

Como se estruturar para cumprir as exigências?

Para implantação da LGPD é importante pensar, uma vez que ela é uma lei sobre uso e tratamento dos dados, então é o 1º passo é mensurar a importância dos dados para sua empresa.

 

  • Quais dados você coleta que são imprescindíveis para o seu negócio?
  • Quais dados tem valor real no caso de vazamentos?
  • Quais dados você coleta e não deveria estar coletando?
  • Existe algum dado na sua empresa que trafega num sistema com nível de segurança desconhecido?
  • Qual o valor estratégico dos dados no seu negócio?
  • Quanto vale para sua empresa investir em dados?

 

Vamos ao próximo passo, qual a importância da Lei Geral de Proteção de Dados para sua empresa?

 

Quais são os riscos?

Qual o potencial da sua empresa para causar prejuízo para outras empresas e pessoas através de um vazamento?

Qual o seu orçamento para isso?

 

Sobretudo, agora na posse destas informações estratégicas, você deve avaliar a maturidade da sua empresa e os profissionais disponíveis para trabalhar neste tema. Desse modo, a equipe de profissionais deve possuir conhecimento sobre aspectos jurídicos, processos e de segurança da informação. Adicionalmente você deve elencar esta equipe e definir metas reais e palpáveis para ela.

Já conheço meus processos, quais os próximos passos da lei?

Neste momento, a empresa terá à disposição diversas alternativas:

– Treinamentos de LGPD e Exin

– Softwares para gestão de diversos processos de privacidade

– Consultoria de implantação de compliance LGPD

– Escritórios de advocacia prestando serviços jurídicos

– Certificações ISO 27000, Cobit e ITIL, SOC, COSO, SOX, PCD-DSS

– Testagem externa das aplicações e redes para mapeamento de vulnerabilidades

– Aquisição de sistemas para aumentar a segurança da área de tecnologia: criptografia, VPN, Firewall, antivírus, 2º fator de autenticação, etc…

– Adequações de aplicações internas

São muitas possibilidades, os empresários então devem se perguntar, se a equipe interna consegue realizar a decisão de investimento, quais recursos serão mais úteis neste momento e qual será o esforço necessário da sua equipe na aquisição, implantação e gestão destes processos ou sistemas.

Por exemplo: se sua equipe precisar se capacitar para decidir sobre os projetos, isto deve demandar um esforço específico mínimo de 1-2 meses. Inegavelmente, Se sua empresa utiliza tratamento de dados em sistemas internos, após o diagnóstico das suas vulnerabilidades será necessária a correção destas aplicações. Contudo, questões como virtualização de trabalho e acesso externo às redes e aplicações devem seguir as melhores práticas de segurança.

Importante ressaltar que existem aspectos de governança e compliance, que são tratados com gestão, treinamentos, controles e auditorias, aspectos tecnológicos tratados pela Segurança de Informação e aspectos jurídicos, como termos, contratos, avaliação dos riscos legais e o que se chama de “accountability”, a correta documentação das atividades realizadas para provar esforço e boa índole, conforme os artigos 43 e 50 da Lei Geral de Proteção de Dados.

Eu preciso de apoio externo com a Lei Geral de Proteção de Dados?

Uma consultoria de implantação de processos para adequação à LGPD poderá ajudar com:

– Definição dos objetivos da empresa e importância do tratamento de dados

– Definição do comitê de privacidade e do encarregado de dados

– Palestras de engajamento e nivelamento da equipe

– Mapeamento dos processos

– Revisão de processos de maior risco e mais críticos

– Análise ou desenvolvimento de uma política de segurança da informação

– Definição do canal de comunicação com o cliente sobre seus dados

– Definição de protocolo de vazamento de dados

– Auditoria e revisão de documentos

– Definição das necessidades de plataformas tecnológicas para processos de gestão de dados

– Mapeamento dos sistemas críticos e dados sensíveis

– Análise de vulnerabilidades das redes e aplicações

– Definição das tecnologias para melhoria da segurança da informação e correção das vulnerabilidades

– Análise e desenvolvimento de termos de uso e consentimento nos sistemas, incluindo termos de cookies e a configuração de cookies pelos usuários.

– Avaliação do grau de aderência dos fornecedores de sistemas e serviços à Lei Geral de Proteção de Dados, levantamento dos riscos associados à fornecedores e operadores de dados.

Cabe também a decisão de ter ou não uma equipe de compliance e segurança da informação interna, ou se contará com apoio externo para capacitar a equipe existente e suportar os processos no curto prazo. Assim, a empresa escolhida deve trazer experiência e conhecimento sobre o tema.

Quando terei necessidade de usar um software para gestão?

Alguns softwares atendem à necessidade de organização, documentação e automatização dos processos, contando com funcionalidades, como por exemplo:

– Mapeamento e descoberta de dados

– Consentimento dos titulares

– Consentimento para cookies

– Automação das avaliações (DPIA e PIA)

– Gestão de riscos de fornecedores

– Pseudoanonimização

– Resposta à incidentes

Lembrando que estes sistemas, apesar de terem um nível de automação, devem ser configurados e utilizados por pessoas, então será necessário ao menos 1 profissional para fazer a gestão deste processo. Dependendo do tamanho e complexidade da organização, exigirá mais esforço e apoio de outras áreas.

Em suma, quanto maior e mais complexa for sua organização e o tratamento de dados internos seja mais complexo, um software de gestão tem mais utilidade.

E quem será o DPO?

O DPO, deve aliar o conhecimento da lei, conhecimento de tecnologia e conhecimento do negócio, suas decisões sobre riscos e abordagens devem equilibrar riscos, boas práticas e necessidades do negócio. Além de participar das decisões, o DPO será responsável por qualquer comunicação com a ANPD. Ocasionalmente, a empresa contará também com um comitê de privacidade, que suportará os processos, demandas e decisões do DPO.

Infra-estrutura e aplicações de TI

Na ponta tecnológica, a empresa deve saber onde estão armazenados seus dados e sua arquitetura de rede. Na hipótese de sistemas próprios e rede interna, a atualização das versões de softwares utilizados para contemplar “patches” de segurança, além da correção de configurações ou mesmo uso de novas tecnologias, com a necessidade de troca ou contratação de fornecedores.

Caso a empresa faça desenvolvimento próprio, a tendência será a incorporação de novas práticas, como “privacy by design” ou “privacy by default”. “Privacy by default” é contemplar o usuário com a privacidade máxima desde o início do desenvolvimento do sistema. “Privacy by design” é a inclusão das preocupações concernentes à privacidade e dos profissionais responsáveis pela privacidade (DPO, comitê ou departamento específico), desde o início do desenvolvimento dos sistemas.

Para sistemas legados, citei anteriormente os testes de vulnerabilidade, que possibilitam seu mapeamento e correção, podendo contar com um “atalho” através dos relatórios de vulnerabilidades, que já contemplam sugestões de correção e um suporte da empresa contratada. A possibilidade de uso de uma ou mais empresas para testes de aplicações críticas, auxiliam na expansão dos testes e uso de testes diferenciados. Decerto, uma equipe de profissionais “pentester” contratados propicia novas abordagens e conhecimento acumulado de projetos com outros clientes.

E a bala de prata para a LGPD?

Infelizmente, a bala de prata ainda não existe, a preocupação e ética da direção com questões de privacidade de dados, a existência de mecanismos de governança e gestão de dados, além do ecossistema de tecnologia serão os diferenciais para adequação à LGPD.

Certamente, o mercado de fornecedores de tecnologias está em alvoroço, tanto pelas novas demandas, que geram novos roadmaps e versões do software, quanto pelas soluções lançadas para adequação à LGPD. Neste caso, meu conselho é que se realize o mapeamento das suas necessidades antes da aquisição de novas soluções, invista um pouco em capacitação e alinhamentos antes de tomar decisões de investimentos de aquisição de softwares.

A boa-fé e ética são muito importantes para adequação à LGPD. Uma empresa que procura pautar os direitos dos titulares de dados, conforme o artigo 50, e conseguir documentar suas ações práticas para proteção dos dados, terá um menor passivo jurídico.

Ganho para as empresas com a LGPD

O caminho para adequação à LGPD apesar de trazer desafios, trará também diferenciais e melhoria de processos. Além disso, os impactos de vazamentos de dados estão contemplados em estudos anuais como o da IBM, com uma média de USD 3,9 milhões para cada vazamento de dados, variando dependendo do tamanho, segmento e característica da empresa. Porém existem estudos, como o da Cisco, que apontam os ganhos na implantação de processos de privacidade, que se refletem em processos mais definidos e conhecidos, devido à preocupação da empresa com privacidade, transparência e ética. Portanto, os ganhos citados no estudo da Cisco variam de redução de atrasos nas vendas, melhoria na agilidade e inovação até maior confiança e lealdade dos clientes.

Erik Mattfeldet

Head Comercial da Resh Cyber Defense

RESH

Compartilhe:

Artigos Relacionados

IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?
IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?