Existe uma bala de prata para resolver a LGPD?

Erik Mattfeldet

Head Comercial da Resh Cyber Defense

A Lei Geral de Proteção de Dados (LGPD), lei nº 13.709 entrou em vigor em 18 de setembro de 2020, mas…e agora? O que fazer?

 

As soluções disponíveis são inúmeras, desde produtos para controle dos processos e tarefas necessárias, treinamentos específicos, consultorias, demanda por profissionais para o papel de encarregado de dados (DPO), até soluções tecnológicas para proteção dos dados, redes e aplicativos.

 

Os diretores se questionam sobre como investir e o que fazer para preparar a empresa da melhor forma. Concomitantemente, a pandemia gerou uma crise de caixa em muitas empresas e menos recursos para despender com a sua segurança de dados.

 

Além da LGPD, os recentes documentários sobre privacidade, tais como privacidade hackeada (The Great Hack) e dilema das redes (The social Dilemma), ambos da Netflix, trouxeram ao conhecimento público, os riscos de disponibilizar dados sem controle para os diversos serviços de tecnologia.

 

A ANPD e os riscos jurídicos

A ANPD recém instituída, e cujas indicações do Conselho Diretor foram recentemente aprovadas, será a responsável por elaborar diretrizes, normatizar e zelar pela proteção dos dados pessoais, para a diretoria foram indicados membros com histórico de governança de dados e segurança da informação. Existe a previsão na Lei de sanções e multas para empresas que não realizarem a correta utilização dos dados e a devida proteção dos mesmos.

 

Foram indicados, 3 profissionais com experiência técnica, todos militares, Waldemar Goncalves, militar formado pelo IME e atual presidente da TELEBRAS, Joacil Bacilio, também militar, formado pelo IME e com doutorado em ciência da computação e Arthur Pereira Sabbat, militar com pós-graduação em segurança da informação, além de 2 advogadas, Miriam Wimmer, advogada, servidora na ANATEL e com atuação no Comitê Gestor da Internet (CGI) e Nairane Leitão, advogada com especialização em privacidade e proteção de dados.

 

Além da ANPD, é importante ressaltar que os tribunais poderão receber demandas judiciais de pessoas físicas e jurídicas que se considerem prejudicadas, face a nova legislação, independente das auditorias e normas da ANPD. O Procon também poderá notificar diretamente qualquer empresa baseada na nova lei. Além disso, o Ministério Público do Distrito Federal já possui uma equipe específica para tratar desses temas, tendo iniciado algumas demandas recentemente.

 

O valor dos dados

“Os dados serão o próximo petróleo”, a expressão já virou realidade: entre as empresas com mais receita no mundo, temos mais companhias de tecnologia do que de petróleo. Os dados são utilizados para segmentar pessoas e entregar conteúdos direcionados para cada público-alvo, prática muito comum em mecanismos de publicidade on-line e que contribui para gerar grandes receitas para seus detentores.

 

As Adtechs

Empresas como Google e Facebook, com funções diferentes para os usuários, têm em comum sua forma de monetização. Elas utilizam os anúncios patrocinados, uma forma das empresas conseguirem investir exatamente no público-alvo. Esta publicidade on-line é direcionada para públicos específicos, uma combinação dos perfis do usuário. Até 10 anos atrás, você ficaria muito satisfeito com uma publicidade que fornecesse somente filtros de localização, sexo, idade e poder aquisitivo. Atualmente, existe à disposição filtros sobre gostos específicos, como vinho ou cerveja, sobre hobbies, preferências musicais, inclinação política e mais uma infinidade de possibilidades.

 

As regulamentações de privacidade tomaram maior importância devido ao uso massivo dos dados pelas Adtechs e geraram um movimento que culminou nas inúmeras legislações (GDPR-Européia, LGPD-Brasileira, dentre outras).

 

As empresas brasileiras

Algumas das maiores empresas brasileiras já possuíam processos de governança e segurança da informação robustos. Bancos e seguradoras, por exemplo, usam equipes de governança, privacidade e risco e sistemas seguros, para inibir fraudes e perdas financeiras.

 

Outras empresas possuem certificações e acreditações em outras áreas, como na saúde (HIMS, ONA, Joint Comission International) ou outros segmentos com certificações de governança e qualidade (ISO, Cobit, ITIL, SOC, COSO, SOX, PCD-DSS, Seis Sigma e gestão de projetos). Cada uma destas certificações, ajuda na maturidade da organização gerando processos mais transparentes, maior gestão e controle, segurança e estabilidade de seus dados.

 

Do outro lado, as pequenas e médias empresas, com níveis de maturidade muito diferentes, ainda não abordam em sua maioria os processos e governança de forma estruturada. Não possuem investimentos em equipe de segurança da informação, processos, governança e riscos, tão pouco acesso à escritórios de advocacia. Nestes, a tentativa de adequação à LGPD deve ser mais direta.

 

Como se estruturar para cumprir as exigências?

Para implantação da LGPD é importante pensar, uma vez que ela é uma lei sobre uso e tratamento dos dados, então é o 1º passo é mensurar a importância dos dados para sua empresa.

 

-Quais dados você coleta que são imprescindíveis para o seu negócio?

-Quais dados tem valor real no caso de vazamentos?

-Quais dados você coleta e não deveria estar coletando?

-Existe algum dado na sua empresa que trafega num sistema com nível de segurança desconhecido?

-Qual o valor estratégico dos dados no seu negócio?

-Quanto vale para sua empresa investir em dados?

 

Vamos ao próximo passo, qual a importância da LGPD para sua empresa?

 

Quais são os riscos?

Qual o potencial da sua empresa para causar prejuízo para outras empresas e pessoas através de um vazamento?

Qual o seu orçamento para isso?

 

Agora, na posse destas informações estratégicas, você deve avaliar a maturidade da sua empresa e os profissionais disponíveis para trabalhar neste tema. A equipe de profissionais deve possuir conhecimento sobre aspectos jurídicos, processos e de segurança da informação. Adicionalmente você deve elencar esta equipe e definir metas reais e palpáveis para ela.

 

Já conheço meus processos, quais os próximos passos?

Neste momento, a empresa terá à disposição diversas alternativas:

– Treinamentos de LGPD e Exin

– Softwares para gestão de diversos processos de privacidade

– Consultoria de implantação de compliance LGPD

– Escritórios de advocacia prestando serviços jurídicos

– Certificações ISO 27000, Cobit e ITIL, SOC, COSO, SOX, PCD-DSS

– Testagem externa das aplicações e redes para mapeamento de vulnerabilidades

– Aquisição de sistemas para aumentar a segurança da área de tecnologia: criptografia, VPN, Firewall, antivírus, 2º fator de autenticação, etc…

– Adequações de aplicações internas

 

São muitas possibilidades, os empresários então devem se perguntar, se a equipe interna consegue realizar a decisão de investimento, quais recursos serão mais úteis neste momento e qual será o esforço necessário da sua equipe na aquisição, implantação e gestão destes processos ou sistemas.

 

Por exemplo: se sua equipe precisar se capacitar para decidir sobre os projetos, isto deve demandar um esforço específico mínimo de 1-2 meses. Se sua empresa utiliza tratamento de dados em sistemas internos, após o diagnóstico das suas vulnerabilidades será necessária a correção destas aplicações. Questões como virtualização de trabalho e acesso externo às redes e aplicações devem seguir as melhores práticas de segurança.

 

Importante ressaltar que existem aspectos de governança e compliance, que são tratados com gestão, treinamentos, controles e auditorias, aspectos tecnológicos tratados pela Segurança de Informação e aspectos jurídicos, como termos, contratos, avaliação dos riscos legais e o que se chama de “accountability”, a correta documentação das atividades realizadas para provar esforço e boa índole, conforme os artigos 43 e 50 da LGPD.

 

Eu preciso de apoio externo?

Uma consultoria de implantação de processos para adequação à LGPD poderá ajudar com:

– Definição dos objetivos da empresa e importância do tratamento de dados

– Definição do comitê de privacidade e do encarregado de dados

– Palestras de engajamento e nivelamento da equipe

– Mapeamento dos processos

– Revisão de processos de maior risco e mais críticos

– Análise ou desenvolvimento de uma política de segurança da informação

– Definição do canal de comunicação com o cliente sobre seus dados

– Definição de protocolo de vazamento de dados

– Auditoria e revisão de documentos

– Definição das necessidades de plataformas tecnológicas para processos de gestão de dados

– Mapeamento dos sistemas críticos e dados sensíveis

– Análise de vulnerabilidades das redes e aplicações

– Definição das tecnologias para melhoria da segurança da informação e correção das vulnerabilidades

– Análise ou desenvolvimento de termos de uso e consentimento nos sistemas, além de termos de uso de cookie e possibilidade de configuração de cookies pelos usuários

– Avaliação do grau de aderência dos fornecedores de sistemas e serviços à LGPD, levantamento dos riscos associados à fornecedores e operadores de dados.

 

Cabe também a decisão de ter ou não uma equipe de compliance e segurança da informação interna, ou se contará com apoio externo para capacitar a equipe existente e suportar os processos no curto prazo. A empresa escolhida deve trazer experiência e conhecimento sobre o tema.

 

Quando terei necessidade de usar um software para gestão?

 

Alguns softwares atendem à necessidade de organização, documentação e automatização dos processos, contando com funcionalidades como:

 

– Mapeamento e descoberta de dados

– Consentimento dos titulares

– Consentimento para cookies

– Automação das avaliações (DPIA e PIA)

– Gestão de riscos de fornecedores

– Pseudoanonimização

– Resposta à incidentes

Lembrando que estes sistemas, apesar de terem um nível de automação, devem ser configurados e utilizados por pessoas, então será necessário ao menos 1 profissional para fazer a gestão deste processo. Dependendo do tamanho e complexidade da organização, exigirá mais esforço e apoio de outras áreas.

 

Em suma, quanto maior e mais complexa for sua organização e o tratamento de dados internos seja mais complexo, um software de gestão tem mais utilidade.

 

E quem será o DPO?

O DPO, deve aliar o conhecimento da lei, conhecimento de tecnologia e conhecimento do negócio, suas decisões sobre riscos e abordagens devem equilibrar riscos, boas práticas e necessidades do negócio. Além de participar das decisões o DPO será responsável por qualquer comunicação com a ANPD. Normalmente, a empresa contará também com um comitê de privacidade, que suportará os processos, demandas e decisões do DPO.

 

Infra-estrutura e aplicações de TI

Na ponta tecnológica, a empresa deve saber onde estão armazenados seus dados e sua arquitetura de rede. Na hipótese de sistemas próprios e rede interna, a atualização das versões de softwares utilizados para contemplar “patches” de segurança, além da correção de configurações ou mesmo uso de novas tecnologias, com a necessidade de troca ou contratação de fornecedores.

 

Caso a empresa faça desenvolvimento próprio, a tendência será a incorporação de novas práticas, como “privacy by design” ou “privacy by default”. “Privacy by default” é contemplar o usuário com a privacidade máxima desde o início do desenvolvimento do sistema. “Privacy by design” é a inclusão das preocupações concernentes à privacidade e dos profissionais responsáveis pela privacidade (DPO, comitê ou departamento específico), desde o início do desenvolvimento dos sistemas.

 

Para sistemas legados, citei anteriormente os testes de vulnerabilidade, que possibilitam seu mapeamento e correção, podendo contar com um “atalho” através dos relatórios de vulnerabilidades, que já contemplam sugestões de correção e um suporte da empresa contratada. A possibilidade de uso de uma ou mais empresas para testes de aplicações críticas, auxiliam na expansão dos testes e uso de testes diferenciados. Uma equipe de profissionais “pentester” contratados propicia novas abordagens e conhecimento acumulado de projetos com outros clientes.

E a bala de prata?

Infelizmente, a bala de prata ainda não existe, a preocupação e ética da direção com questões de privacidade de dados, a existência de mecanismos de governança e gestão de dados, além do ecossistema de tecnologia serão os diferenciais para adequação à LGPD.

 

Obviamente, o mercado de fornecedores de tecnologias está em alvoroço, tanto pelas novas demandas, que geram novos roadmaps e versões do software, quanto pelas soluções lançadas para adequação à LGPD. Neste caso, meu conselho é que se realize o mapeamento das suas necessidades antes da aquisição de novas soluções, invista um pouco em capacitação e alinhamentos antes de tomar decisões de investimentos de aquisição de softwares.

 

A boa-fé e ética são muito importantes para adequação à LGPD. Uma empresa que procura pautar os direitos dos titulares de dados, conforme o artigo 50, e conseguir documentar suas ações práticas para proteção dos dados, terá um menor passivo jurídico.

Ganho para as empresas

O caminho para adequação à LGPD apesar de trazer desafios, trará também diferenciais e melhoria de processos. Os impactos de vazamentos de dados estão contemplados em estudos anuais como o da IBM, com uma média de USD 3,9 milhões para cada vazamento de dados, variando dependendo do tamanho, segmento e característica da empresa. Porém existem estudos, como o da Cisco, que apontam os ganhos na implantação de processos de privacidade, que se refletem em processos mais definidos e conhecidos, devido à preocupação da empresa com privacidade, transparência e ética. Os ganhos citados no estudo da Cisco variam de redução de atrasos nas vendas, melhoria na agilidade e inovação até maior confiança e lealdade dos clientes.