LGPD + Data Protection
A LGPD surge para preencher lacunas e substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje. Uma vez que é inegável o marco que ela representa não poderíamos deixar esse tema de fora de nossas Security Lives.
Nosso bate-papo sobre a melhor estratégia para atender a LGPD, tanto em processos quanto em tecnologia, assegurando a proteção de dados, contou com a presença de Alex Amorim, Chief Information Security Officer da Cogna Educação; Marcelo Ferreira, Data Protection Advisor da Sec4You e Carlos Jardim, Sales Engineering Manager da McAfee.
GDPR e suas influências
A maior influência para a ideação e maturação da LGPD foi o GDPR (General Data Protection Regulation), que entrou em vigor em 2018 e regulamenta tal proteção de dados nos países europeus. É a mais significativa legislação recente referente a privacidade de dados, que passou a servir de modelo para outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
No Brasil, apesar da proteção de dados ser uma tema já debatido há um certo tempo, a temática da LGPD ainda é nova, especialmente quando comparada a de outros países como Japão, que teve sua primeira lei de proteção de dados criada em 2003, e a Argentina que apresenta leis específicas para proteção de dados pessoais desde 1994.
Uma das características que a LGPD herdou do GDPR é o conceito de Privacy Security by Design. A ideia é incorporar salvaguardas de privacidade e dados pessoais, em todos os projetos desenvolvidos, ou seja, os novos projetos devem adotar medidas preventivas de proteção dos dados. Sendo assim, as empresas precisam rever suas políticas, implementar bons programas de Governança de TI, a fim de prevenir incidentes de violação de dados e de outros riscos à segurança.
No caso da Privacy Security by Design Alex Amorim nos apresenta 6 fases que compõem esse conceito:
Fase 1 - Compreensão e resolução do problema do negócio
Nessa parte a área de negócios é responsável por demandar novas ideias como foco em segurança e privacidade.
Fase 2 - Modelagem da Arquitetura da Informação
Arquitetura de Sistemas deve desenhar novas arquiteturas respeitando os requisitos de segurança e privacidade.
Fase 3 - Definição das tecnologias de armazenamento, recuperação e tratamento da informação
Arquitetura de Sistemas agora irá definir as tecnologias a ser utilizadas no projeto usando requisitos de Arquitetura, Segurança e Privacidade.
Fase 4 - Construção de Aplicações e Sistemas
Aqui o Time de Desenvolvimento e Sistemas vai criar aplicações usando os requisitos definidos por Arquitetura, Segurança e Privacidade.
Fase 5 - Consumo inteligente do dado no contexto de informação e conhecimento
A área de negócios irá realizar a validação das funcionalidades frente aos requisitos demandados.
Fase 6 - Destruição e descarte de dados
O Time de Operação será responsável pela destruição, descarte e direto ao esquecimento pelo titular. É importante que a empresa então deixe claro o porquê de sua utilização. Caso o dado não tenha mais utilidade não há motivo para retê-lo na empresa, daí o seu descarte.
Outro ponto apresentado por Alex Amorim foi justamente a questão da proteção de dados e as diferentes classificações entre esses. Dependendo do dado, temos um sério prejuízo caso ele seja exposto.
Confira abaixo os tipos de dados:
Dados anonimizados
É um dado que foi tratado para que suas informações não sejam vinculadas ao seu titular original, ou seja, não são capazes de identificar uma pessoa. Como exemplo de dados anônimos é possível citar: sexo, altura e outras informações avulsas que sozinhas não tornam capaz a identificação de um indivíduo. Logo um dado anonimizado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
O processo de anonimização auxilia não apenas por uma questão de segurança externa, mas permite que os dados possam servir de fonte de análise e decisão. Em um mundo cada vez mais data-driven, isso implica em menos riscos à privacidade e a segurança das pessoas.
Dado pessoal indireto e direto
Um dado pessoal em si é toda informação que pode ser relacionada a uma pessoa identificada ou identificável. Desse modo, para um dado ser pessoal ele permite permite a identificação, direta ou indireta, da pessoa por trás do dado. Por exemplo, nome, sobrenome, CPF, RG, CNH, endereço residencial ou comercial, telefone, e-mail e endereço IP. No caso o dado pessoal indireto, ele não pode ser atribuído a um indivíduo sem a devida complementação informacional.
Dado pessoal sensível
Ele possui um grande potencial de sofrer algum tipo de discriminação em relação ao seu titular. Raça, etnia, religião e posição política são exemplos de dados sensíveis e só podem ser coletados com o consentimento expresso.
Como as empresas podem entrar em conformidade com a LGPD
Muitas empresas quando começam essa jornada para entrar em conformidade com a LGPD se deparam com inúmeras situações, logo do dia para noite é impossível uma completa adequação às regras desta lei. Tal jornada demanda tempo, sendo que a empresa necessita passar por um ciclo de autoconhecimento para se adequar a políticas e processos.
Segundo Marcelo Ferreira, no início da jornada o nível de maturidade de uma empresa quanto a LGPD é baixo. O primeiro passo deve ser entrar em conformidade legal com os princípios desta lei. A partir daí a empresa terá condições de realizar um Assessment LGPD e conhecer suas lacunas de conformidade, inclusive as tecnológicas.
Em um nível mais intermediário de conformidade, empresa realiza a adequação de seus processos e também o entorno tecnológico, por meio de soluções de Data Protection como encriptografia, DLP, DASP e database security.
Na sequência temos a fase de aprimoramento que está relacionada a Rastreabilidade e Transparência dos direitos do titular. Aqui a empresa deve reavaliar os passos anteriores, realizando ajustes e adequações com a implementação de uma Governança sobre a Privacidade de Dados, abrangendo todos os processos de negócios e tecnologia.
O estado de conformidade com a LGPD só é alcançado quando se possui pleno entendimento de todas as dimensões da LGPD, com uma Governança ativa dessa lei em todos os processos de negócio, dados pessoais e cybersecurity (entorno tecnológico).
O que muda na prática com a LGPD
Com a chegada da LGPD todas as empresas deverão estar atentas e reforçar a segurança de dados, assim como promover políticas mais transparentes sobre sua utilização, coleta e armazenamento. Afinal de contas, os donos dos dados ainda são seus titulares.
Alcançar o compliance em relação à LGPD e sustentá-lo será desafiador nas corporações se elas não se equiparem com as estratégias certas de gestão de segurança da informação. Os negócios precisam entender como os dados navegam dentro de suas organizações e seguir as melhores práticas para alcançar e manter a adequação à LGPD.
Carlos Jardim cita os principais impactos da LGPD:
Mudança na forma como as empresas lidam com os dados pessoais. Se antes o foco era somente a proteção de dados críticos corporativos, agora agregamos os dados pessoais. Por consequência, há uma mudança no modo como as empresas traçam suas estratégias.
Consumidor final agora é protegido por lei quanto à coleta, uso e armazenamento de seus dados. Dessa forma, a qualquer momento que o cidadão não quiser mais que seus dados sejam usados por determinada empresa, ele pode expressar sua vontade e deve ser atendido.
Necessidade da elaboração de estratégia corporativa para a proteção de dados
Alinhamento entre áreas internas (negócio, tecnologia e jurídico). Ainda há empresas em que a temática da LGPD fica à cargo apenas da área jurídica, sendo sendo tal lei atinge outras áreas internas de uma empresa.
Responsabilização legal e financeira. A partir da LGPD todas as empresas deverão adaptar sua forma de fazer negócios de acordo com as novas regras, uma vez que o descumprimento da lei pode levar desde advertências a multas pesadas.
Importante frisar que a LGPD não é uma lei feita primeiramente pensando nas empresas, mas seu foco é a proteção da privacidade e segurança dos dados pessoais dos cidadãos, tendo em vista que tais informações são acessadas por muitas empresas na realização de qualquer transação comercial.
Este artigo foi escrito por Alfredo Santos e publicado originalmente em Prensa.li.