Pic

Existe uma bala de prata para resolver a LGPD?

Erik Mattfeldet


Head Comercial da Resh Cyber Defense




 


A Lei Geral de Proteção de Dados (LGPD), lei nº 13.709 entrou em vigor em 18 de setembro de 2020, mas...e agora? O que fazer?


 


As soluções disponíveis são inúmeras, desde produtos para controle dos processos e tarefas necessárias, treinamentos específicos, consultorias, demanda por profissionais para o papel de encarregado de dados (DPO), até soluções tecnológicas para proteção dos dados, redes e aplicativos.


 


Os diretores se questionam sobre como investir e o que fazer para preparar a empresa da melhor forma. Concomitantemente, a pandemia gerou uma crise de caixa em muitas empresas e menos recursos para despender com a sua segurança de dados.


 


Além da LGPD, os recentes documentários sobre privacidade, tais como privacidade hackeada (The Great Hack) e dilema das redes (The social Dilemma), ambos da Netflix, trouxeram ao conhecimento público, os riscos de disponibilizar dados sem controle para os diversos serviços de tecnologia.


 


A ANPD e os riscos jurídicos


A ANPD recém instituída, e cujas indicações do Conselho Diretor foram recentemente aprovadas, será a responsável por elaborar diretrizes, normatizar e zelar pela proteção dos dados pessoais, para a diretoria foram indicados membros com histórico de governança de dados e segurança da informação. Existe a previsão na Lei de sanções e multas para empresas que não realizarem a correta utilização dos dados e a devida proteção dos mesmos.


 


Foram indicados, 3 profissionais com experiência técnica, todos militares, Waldemar Goncalves, militar formado pelo IME e atual presidente da TELEBRAS, Joacil Bacilio, também militar, formado pelo IME e com doutorado em ciência da computação e Arthur Pereira Sabbat, militar com pós-graduação em segurança da informação, além de 2 advogadas, Miriam Wimmer, advogada, servidora na ANATEL e com atuação no Comitê Gestor da Internet (CGI) e Nairane Leitão, advogada com especialização em privacidade e proteção de dados.


 


Além da ANPD, é importante ressaltar que os tribunais poderão receber demandas judiciais de pessoas físicas e jurídicas que se considerem prejudicadas, face a nova legislação, independente das auditorias e normas da ANPD. O Procon também poderá notificar diretamente qualquer empresa baseada na nova lei. Além disso, o Ministério Público do Distrito Federal já possui uma equipe específica para tratar desses temas, tendo iniciado algumas demandas recentemente.


 


O valor dos dados


“Os dados serão o próximo petróleo”, a expressão já virou realidade: entre as empresas com mais receita no mundo, temos mais companhias de tecnologia do que de petróleo. Os dados são utilizados para segmentar pessoas e entregar conteúdos direcionados para cada público-alvo, prática muito comum em mecanismos de publicidade on-line e que contribui para gerar grandes receitas para seus detentores.


 


As Adtechs


Empresas como Google e Facebook, com funções diferentes para os usuários, têm em comum sua forma de monetização. Elas utilizam os anúncios patrocinados, uma forma das empresas conseguirem investir exatamente no público-alvo. Esta publicidade on-line é direcionada para públicos específicos, uma combinação dos perfis do usuário. Até 10 anos atrás, você ficaria muito satisfeito com uma publicidade que fornecesse somente filtros de localização, sexo, idade e poder aquisitivo. Atualmente, existe à disposição filtros sobre gostos específicos, como vinho ou cerveja, sobre hobbies, preferências musicais, inclinação política e mais uma infinidade de possibilidades.


 


As regulamentações de privacidade tomaram maior importância devido ao uso massivo dos dados pelas Adtechs e geraram um movimento que culminou nas inúmeras legislações (GDPR-Européia, LGPD-Brasileira, dentre outras).


 


As empresas brasileiras


Algumas das maiores empresas brasileiras já possuíam processos de governança e segurança da informação robustos. Bancos e seguradoras, por exemplo, usam equipes de governança, privacidade e risco e sistemas seguros, para inibir fraudes e perdas financeiras.


 


Outras empresas possuem certificações e acreditações em outras áreas, como na saúde (HIMS, ONA, Joint Comission International) ou outros segmentos com certificações de governança e qualidade (ISO, Cobit, ITIL, SOC, COSO, SOX, PCD-DSS, Seis Sigma e gestão de projetos). Cada uma destas certificações, ajuda na maturidade da organização gerando processos mais transparentes, maior gestão e controle, segurança e estabilidade de seus dados.


 


Do outro lado, as pequenas e médias empresas, com níveis de maturidade muito diferentes, ainda não abordam em sua maioria os processos e governança de forma estruturada. Não possuem investimentos em equipe de segurança da informação, processos, governança e riscos, tão pouco acesso à escritórios de advocacia. Nestes, a tentativa de adequação à LGPD deve ser mais direta.


 


Como se estruturar para cumprir as exigências?


Para implantação da LGPD é importante pensar, uma vez que ela é uma lei sobre uso e tratamento dos dados, então é o 1º passo é mensurar a importância dos dados para sua empresa.


 


-Quais dados você coleta que são imprescindíveis para o seu negócio?


-Quais dados tem valor real no caso de vazamentos?


-Quais dados você coleta e não deveria estar coletando?


-Existe algum dado na sua empresa que trafega num sistema com nível de segurança desconhecido?


-Qual o valor estratégico dos dados no seu negócio?


-Quanto vale para sua empresa investir em dados?


 


Vamos ao próximo passo, qual a importância da LGPD para sua empresa?


 


Quais são os riscos?


Qual o potencial da sua empresa para causar prejuízo para outras empresas e pessoas através de um vazamento?


Qual o seu orçamento para isso?


 


Agora, na posse destas informações estratégicas, você deve avaliar a maturidade da sua empresa e os profissionais disponíveis para trabalhar neste tema. A equipe de profissionais deve possuir conhecimento sobre aspectos jurídicos, processos e de segurança da informação. Adicionalmente você deve elencar esta equipe e definir metas reais e palpáveis para ela.


 


Já conheço meus processos, quais os próximos passos?


Neste momento, a empresa terá à disposição diversas alternativas:


- Treinamentos de LGPD e Exin


- Softwares para gestão de diversos processos de privacidade


- Consultoria de implantação de compliance LGPD


- Escritórios de advocacia prestando serviços jurídicos


- Certificações ISO 27000, Cobit e ITIL, SOC, COSO, SOX, PCD-DSS


- Testagem externa das aplicações e redes para mapeamento de vulnerabilidades


- Aquisição de sistemas para aumentar a segurança da área de tecnologia: criptografia, VPN, Firewall, antivírus, 2º fator de autenticação, etc...


- Adequações de aplicações internas


 


São muitas possibilidades, os empresários então devem se perguntar, se a equipe interna consegue realizar a decisão de investimento, quais recursos serão mais úteis neste momento e qual será o esforço necessário da sua equipe na aquisição, implantação e gestão destes processos ou sistemas.


 


Por exemplo: se sua equipe precisar se capacitar para decidir sobre os projetos, isto deve demandar um esforço específico mínimo de 1-2 meses. Se sua empresa utiliza tratamento de dados em sistemas internos, após o diagnóstico das suas vulnerabilidades será necessária a correção destas aplicações. Questões como virtualização de trabalho e acesso externo às redes e aplicações devem seguir as melhores práticas de segurança.


 


Importante ressaltar que existem aspectos de governança e compliance, que são tratados com gestão, treinamentos, controles e auditorias, aspectos tecnológicos tratados pela Segurança de Informação e aspectos jurídicos, como termos, contratos, avaliação dos riscos legais e o que se chama de “accountability”, a correta documentação das atividades realizadas para provar esforço e boa índole, conforme os artigos 43 e 50 da LGPD.


 


Eu preciso de apoio externo?


Uma consultoria de implantação de processos para adequação à LGPD poderá ajudar com:


- Definição dos objetivos da empresa e importância do tratamento de dados


- Definição do comitê de privacidade e do encarregado de dados


- Palestras de engajamento e nivelamento da equipe


- Mapeamento dos processos


- Revisão de processos de maior risco e mais críticos


- Análise ou desenvolvimento de uma política de segurança da informação


- Definição do canal de comunicação com o cliente sobre seus dados


- Definição de protocolo de vazamento de dados


- Auditoria e revisão de documentos


- Definição das necessidades de plataformas tecnológicas para processos de gestão de dados


- Mapeamento dos sistemas críticos e dados sensíveis


- Análise de vulnerabilidades das redes e aplicações


- Definição das tecnologias para melhoria da segurança da informação e correção das vulnerabilidades


- Análise ou desenvolvimento de termos de uso e consentimento nos sistemas, além de termos de uso de cookie e possibilidade de configuração de cookies pelos usuários


- Avaliação do grau de aderência dos fornecedores de sistemas e serviços à LGPD, levantamento dos riscos associados à fornecedores e operadores de dados.


 


Cabe também a decisão de ter ou não uma equipe de compliance e segurança da informação interna, ou se contará com apoio externo para capacitar a equipe existente e suportar os processos no curto prazo. A empresa escolhida deve trazer experiência e conhecimento sobre o tema.


 


Quando terei necessidade de usar um software para gestão?


 


Alguns softwares atendem à necessidade de organização, documentação e automatização dos processos, contando com funcionalidades como:


 


- Mapeamento e descoberta de dados


- Consentimento dos titulares


- Consentimento para cookies


- Automação das avaliações (DPIA e PIA)


- Gestão de riscos de fornecedores


- Pseudoanonimização


- Resposta à incidentes


 


Lembrando que estes sistemas, apesar de terem um nível de automação, devem ser configurados e utilizados por pessoas, então será necessário ao menos 1 profissional para fazer a gestão deste processo. Dependendo do tamanho e complexidade da organização, exigirá mais esforço e apoio de outras áreas.


 


Em suma, quanto maior e mais complexa for sua organização e o tratamento de dados internos seja mais complexo, um software de gestão tem mais utilidade.


 


E quem será o DPO?


O DPO, deve aliar o conhecimento da lei, conhecimento de tecnologia e conhecimento do negócio, suas decisões sobre riscos e abordagens devem equilibrar riscos, boas práticas e necessidades do negócio. Além de participar das decisões o DPO será responsável por qualquer comunicação com a ANPD. Normalmente, a empresa contará também com um comitê de privacidade, que suportará os processos, demandas e decisões do DPO.


 


Infra-estrutura e aplicações de TI


Na ponta tecnológica, a empresa deve saber onde estão armazenados seus dados e sua arquitetura de rede. Na hipótese de sistemas próprios e rede interna, a atualização das versões de softwares utilizados para contemplar “patches” de segurança, além da correção de configurações ou mesmo uso de novas tecnologias, com a necessidade de troca ou contratação de fornecedores.


 


Caso a empresa faça desenvolvimento próprio, a tendência será a incorporação de novas práticas, como “privacy by design” ou “privacy by default”. “Privacy by default” é contemplar o usuário com a privacidade máxima desde o início do desenvolvimento do sistema. “Privacy by design” é a inclusão das preocupações concernentes à privacidade e dos profissionais responsáveis pela privacidade (DPO, comitê ou departamento específico), desde o início do desenvolvimento dos sistemas.


 


Para sistemas legados, citei anteriormente os testes de vulnerabilidade, que possibilitam seu mapeamento e correção, podendo contar com um “atalho” através dos relatórios de vulnerabilidades, que já contemplam sugestões de correção e um suporte da empresa contratada. A possibilidade de uso de uma ou mais empresas para testes de aplicações críticas, auxiliam na expansão dos testes e uso de testes diferenciados. Uma equipe de profissionais “pentester” contratados propicia novas abordagens e conhecimento acumulado de projetos com outros clientes.


E a bala de prata?


Infelizmente, a bala de prata ainda não existe, a preocupação e ética da direção com questões de privacidade de dados, a existência de mecanismos de governança e gestão de dados, além do ecossistema de tecnologia serão os diferenciais para adequação à LGPD.


 


Obviamente, o mercado de fornecedores de tecnologias está em alvoroço, tanto pelas novas demandas, que geram novos roadmaps e versões do software, quanto pelas soluções lançadas para adequação à LGPD. Neste caso, meu conselho é que se realize o mapeamento das suas necessidades antes da aquisição de novas soluções, invista um pouco em capacitação e alinhamentos antes de tomar decisões de investimentos de aquisição de softwares.


 


A boa-fé e ética são muito importantes para adequação à LGPD. Uma empresa que procura pautar os direitos dos titulares de dados, conforme o artigo 50, e conseguir documentar suas ações práticas para proteção dos dados, terá um menor passivo jurídico.


Ganho para as empresas


O caminho para adequação à LGPD apesar de trazer desafios, trará também diferenciais e melhoria de processos. Os impactos de vazamentos de dados estão contemplados em estudos anuais como o da IBM, com uma média de USD 3,9 milhões para cada vazamento de dados, variando dependendo do tamanho, segmento e característica da empresa. Porém existem estudos, como o da Cisco, que apontam os ganhos na implantação de processos de privacidade, que se refletem em processos mais definidos e conhecidos, devido à preocupação da empresa com privacidade, transparência e ética. Os ganhos citados no estudo da Cisco variam de redução de atrasos nas vendas, melhoria na agilidade e inovação até maior confiança e lealdade dos clientes.