Segurança da informação tem sido um dos assuntos mais comentados no Brasil desde que a LGPD foi promulgada, em setembro de 2020. A Lei coloca como obrigação para empresas no Brasil ou que prestam serviços para cidadãos brasileiros a regulamentação de atitudes que já deveriam ser consideradas boas práticas: tratar adequadamente dados pessoais, sem utilizar de práticas invasivas para comunicação, nem agir sem o consentimento dos titulares desses dados.
A Lei Geral de Proteção de Dados também avalia os esforços das empresas em seguir processos íntegros: durante um processo, as empresas têm o direito de se defender a partir da apresentação de documentação que comprove a atenção às boas práticas de segurança da informação. Apesar de ser uma prerrogativa imensurável, essa possibilidade é um primeiro indicador de que a LGPD não é apenas mais uma burocracia que as empresas precisam seguir para evitar multas – mas também, uma oportunidade.
Esse foi o foco da conversa entre Fernanda Nones (Privacy and Data Protection Specialist da RD Station), Cyrano Rizzo (CTO da Binario Cloud), Cássio Nascimento (Project Manager Leader da Binario Cloud) e Luana Nogueira (Head of Marketing da Binario Cloud) na 1ª Edição da Binário Week 2021. Na roundtable “Segurança da Informação e LGPD com especialistas em infraestrutura e gestão de TI”, o bate-papo cobriu temas como os principais desafios nas empresas, monetização de dados, o papel do DPO nas empresas, além de dicas práticas para auxiliar organizações a se manter em compliance.
Por isso, vamos conferir neste artigo quais são as principais oportunidades que as empresas podem explorar quando o assunto é LGPD e segurança da informação nessa conversa que, assim como a legislação, deu muito pano pra manga! Se preferir, você também pode dar play na gravação da roundtable agora.
O que toda empresa precisa saber sobre LGPD e segurança da informação
Apesar das multas serem uma das principais preocupações das empresas, o que toda organização precisa ter em mente é que a questão sobre LGPD não são as multas, mas sim a oportunidade de construção de um novo mindset voltado para processos, ferramentas e práticas seguras, que beneficiem todas as partes interessadas. Um bom exercício para fomentar essa prática e realmente abraçar as novas oportunidades do mercado é nos colocarmos mais no papel do “usuário final”, entendendo quais são suas dores. Mas isso só será possível com uma mudança na cultura das organizações.
Cultura organizacional é uma necessidade
Para que as empresas aproveitem as oportunidades que a legislação traz para os negócios, é necessário que exista o comprometimento de todo o time executivo em injetar uma cultura organizacional com foco na segurança da informação. Afinal, uma adequação efetiva à LGPD só é possível se todos os colaboradores souberem seu papel no fluxo de informações, bem como o impacto do não seguimento das melhores práticas de proteção de dados para as demais áreas na empresa.
Não é possível se adequar à lei sem entender o cenário corporativo
Cada empresa é um organismo vivo, com uma cultura própria, processos que se adequam à realidade de negócio e requisitos diferentes. Isso significa que nenhum framework sobre compliance com a LGPD e segurança da informação vai servir 100% para todas as empresas.
De acordo com Cássio Nascimento, a chave para resolver esse problema é conhecer sua organização: “Não é sobre se adequar apenas, mas sim, entender como sua empresa funciona e fazer as adequações necessárias em outras áreas, visando criar processos que não engessam, mas sim, que impulsionam o negócio”, comenta o Project Manager Leader da Binario Cloud.
O importante é começar
Para Cyrano Rizzo, “o maior risco da LGPD é deixar pra lá. Da mesma forma que não dá pra ter um avião no céu sem um piloto, não existe uma ferramenta mágica que vai proteger seu ambiente sem que existam boas práticas e pessoas. Por isso, o importante é começar”.
Conforme pontuaram os porta-vozes da roundtable, este é um momento delicado para a entrada de uma nova Lei em vigor. Porém, para as empresas que estão começando a pesquisa agora, existem muitas mudanças que já podem ser feitas, mesmo que não exista a figura do DPO, nem budget para uma consultoria.
O papel do DPO para o compliance das organizações com a LGPD
O Data Protection Officer ou Encarregado de Dados (DPO) é um colaborador, que pode ser interno ou externo (como em uma consultoria ou um PJ, por exemplo) encarregado por fazer a interface entre os níveis de fluxos de dados da organização, monitorar o que está sendo feito na empresa e como são os processos para garantir que tudo ocorra de acordo com as melhores práticas. Assim, o DPO precisa atuar fortemente no estratégico, compreender o nível tático profundamente, até chegar no operacional.
Apesar disso, ter um DPO nomeado não é uma garantia de segurança da informação, ele é apenas uma parte do processo de proteção de dados. Sem que exista uma base de processos e metodologias previamente estabelecidas na empresa, o DPO não conseguirá lidar com as questões pertinentes à segurança da informação. Por isso, seu papel é essencial, mas existem outros procedimentos que as instituições precisam priorizar.
Como implementar um modelo mais seguro quando há falta de recursos
Quando há falta de recursos para contratação de um DPO ou promoção de um colaborador atual para o cargo, seja por questões de budget, falta de tempo ou até mesmo de pessoas qualificadas, as empresas podem começar realizando o mapeamento do cenário atual em todos os departamentos.
Mapeamento da infraestrutura de TI
Para Cássio Nascimento, uma forma de fazer o mapeamento do parque de TI é o Assessment, consultoria que pode ser realizada pelos profissionais da empresa ou através da contratação de um serviço especializado que vai aplicar questionários, entrevistas, fazer reuniões com as partes interessadas, verificar toda a camada de governança, processos e infraestrutura de TI. Dessa forma, é possível mapear o cenário tecnológico da empresa, trazer um diagnóstico e um plano de ação, viabilizando a implementação de medidas caso ocorra algum problema.
“O importante é entender a fundo o que a empresa faz. Quais são os processos que coletam, tratam e armazenam dados pessoais? Quais são as partes interessadas? Existe transparência entre o fornecedor, que vai coletar esses dados, e o titular? Quais são os riscos? Quais são as regras de negócio? A partir daí, podemos criar as Políticas de Segurança, de Retenção, de Backup, ou até mesmo revisar as existentes para garantir que elas são aderentes à LGPD”, afirma Cássio Nascimento.
Entendimento dos processos de marketing e comunicação
Outra forma de começar é olhando para o marketing e as campanhas de comunicação nas empresas. De acordo com Fernanda Nones, “a LGPD não vem para matar a análise de dados que permite que as empresas criem campanhas personalizadas para os usuários, mas sim para criar oportunidades”. De acordo com a Data Protection Officer da RD Station, é importante que as empresas entendam quais são os limites entre o uso da tecnologia para contato com prospects e o que é invasivo para os usuários. Por isso, é importante investigar se existe transparência no aceite dos termos de privacidade dos serviços que as empresas prestam para os usuários, bem como consentimento de comunicação e bases legais.
“Na LGPD, existe o entendimento de que se o aceite aos termos de privacidade for uma condição para o oferecimento de um produto ou serviço, não há problema em coletar os dados do usuário. Porém, a aceitação da política de privacidade é diferente da aceitação de comunicação. Nesse caso, a pessoa precisa ter o direito à escolha. Ou seja, sair da lista de comunicação de uma empresa precisa ser tão fácil quanto entrar”, comenta Fernanda Nones.
Em resumo, algumas práticas iniciais que organizações com pouco recurso para investir em DPO e consultoria podem fazer é entender a origem e integridade dos dados armazenados hoje. “Basicamente, entender como lidar com esses dados de forma mais ética”, complementa Luana Nogueira.
O uso de ferramentas para garantir processos mais seguros
Do ponto de vista da tecnologia, muita coisa ainda precisa ser feita para garantir a proteção de dados, isso por que a LGPD traz consigo uma nova cultura com processos voltados para proteção de dados que infelizmente não estava nas top priorities das corporações. Porém, existe muita tecnologia pronta para isso no mercado. Como exemplo, podemos citar as ferramentas de Pentest, que avaliam com assertividade o risco de invasão e hacking no parque de TI.
Para Cyrano Rizzo, “via de regra, as empresas já utilizam boa parte das principais ferramentas do mercado, como gestão de diretórios, criptografias e outras soluções. Dessa forma, o que cabe é uma adaptação global aos processos, trazendo-os para o cotidiano da operação. Muitas empresas já têm as ferramentas para garantir a segurança das informações, mas acabam não utilizando por falta de conhecimento”.
Como trazer processos seguros para dados que já existem na empresa
É importante ressaltar que, quando falamos na criação ou manutenção de processos que aumentem a segurança da informação nas empresas, o objetivo é justamente regulamentar o legado – ou seja, aquilo que já existe nas bases de dados desde a fundação da instituição. E apesar desses procedimentos não servirem para os novos dados, construí-los é necessário para embasar o trabalho que deverá ser seguido daqui em diante.
Na prática, a construção de processos vai seguir três estágios:
- Entendimento do conceito e contexto da organização
- Aprofundamento na normativa: regras e conduta
- Procedimentos operacionais
Uma boa dica para estabelecer processos seguros tanto para os dados legados, quanto para os que serão coletados no futuro, é construir a Política de Retenção de Dados, que determina um prazo específico para a exclusão de dados pessoais que não são mais utilizados pela empresa, de acordo com uma base legal determinada pela LGPD aplicável às particularidades de cada organização. Isso possibilita que as empresas tenham apenas dados que sirvam para as finalidades propostas, cuidando do legado e estabelecendo diretrizes eficazes para o futuro.
Como orientar e controlar o acesso a dados na empresa
A Lei obriga que as empresas protejam dados, possuam políticas internas e ferramentas de acesso confiáveis. Portanto, funcionários que tenham acesso privilegiado aos dados coletados e armazenados na empresa precisam ser de extrema confiança — por exemplo, os DBAs (Database Administrators ou Administradores de Bancos de Dados).
Tomando como base esse exemplo, existem formas de garantir a segurança das informações a partir de configurações nativas nos próprios Bancos de Dados, além do incentivo de que todos os administradores utilizem contas nomeadas, e não contas super usuário. Mas isso só será possível caso a empresa tenha políticas e processos bem estabelecidos que especifiquem essa conduta como boa prática, além da cultura organizacional voltada para práticas seguras, conforme citado anteriormente.
Apesar dos desafios que a LGPD traz para as empresas, as oportunidades de crescimento são muitas e vão desde a desmistificação de processos, quebra de barreiras culturais e mapeamento de processos até a capacidade de gerar mais receita a partir da implementação das melhores práticas de segurança da informação. Por isso, o conselho final dos porta-vozes da roundtable foi um chamado para que as organizações aprofundem-se nos Pilares da LGPD: a começar pelas bases legais, princípios e legítimo interesse.
Portanto, se você quer entender mais a fundo sobre o funcionamento da LGPD e como a tecnologia pode ser a principal aliada da sua empresa, recomendo que você confira agora o guia completo que nossos especialistas prepararam após um ano inteiro de experiência auxiliando empresas na jornada do compliance com a LGPD.