LGPD e Segurança da Informação: a partir de agosto de 2020, muita coisa vai mudar no Brasil para as organizações públicas e privadas que coletam, tratam, guardam, processam, comercializam, dentre outras operações, os dados pessoais de milhões de brasileiros.
É que entrará em pleno vigor a Lei nº 13.709/18 (Lei de Proteção de Dados – LGPD) que regulamenta a política de proteção de dados pessoais e privacidade, modifica alguns dos artigos do Marco Civil da Internet e impacta outras normas como as alterações no Cadastro Positivo, transformando drasticamente a maneira como empresas e órgãos públicos tratam a privacidade e a segurança das informações de usuários e clientes.
Na Europa, a General Data Protection Regulation (GDPR)– inspiração para a lei brasileira – vigora desde 25 de maio de 2018, fazendo com que entidades e empresas na União Europeia tivessem de se adaptar antes de sua vigência.
Mas, a situação não é das mais desesperadoras: muitas das mudanças serão positivas tanto para as pessoas quanto para os negócios. É o que afirma o especialista em Segurança da Informação e Chief Information Officer (CIO) da LBCA, Carlos Eduardo Minghini.
Confira abaixo as respostas de Minghini para algumas perguntas sobre Segurança da Informação e comece a entender melhor a nova ordem digital para proteger os dados pessoais de todos os brasileiros:
O que a LGPD significa para profissionais de tecnologia de Segurança da Informação?
A chegada da Lei para os profissionais de tecnologia de segurança da informação é benéfica, pois a Lei prevê a utilização de medidas técnicas e administrativas aptas a proteger os dados, tornando necessária haver a Governança dos Dados. identificando onde residem, qual seu fluxo, classificando seu nível (dados pessoais, sensíveis ou não), gerenciando seu uso e ciclo de vida, protegendo de possíveis vazamentos ou deleções indevidas e monitorando sua utilização.
Como estruturar uma empresa em termos de segurança da informação para a adequação à LGPD?
Para garantir a adequação à legislação, é valiosa a criação de um grupo de trabalho multidisciplinar, composto por representantes de todas as linhas de negócios da companhia, sempre com o suporte do Jurídico, de Compliance e da área de Segurança da Informação. Deve-se, contudo, atacar 4 pilares principais: Identificação, Gerenciamento, Proteção e Monitoramento. Para cada pilar ainda é preciso buscar soluções e processos. No pilar de Proteção, por exemplo, é importante verificar a classificação dos dados, se é pessoal ou sensível, ou mesmo no pilar de Gerenciamento poder administrar os cookies de todos os sites da empresa de um ponto central, visto que é obrigado perguntar se o usuário pode gravar ou não cookies ao visitar o Website desejado.
Com a LGPD, devo apagar os dados de um contato sempre que for solicitado? Como funciona esse processo, tendo em vista que um dado nunca é realmente apagado?
Depende de sua utilização. Por exemplo, dados que a Lei permite a guarda não devem ser apagados, pois pertencem ao negócio. Agora, em casos de deleção, devemos apagar até os dados legados que estão inclusive nas fitas de backup. Por isso, muitas empresas estão movendo seus backups para nuvem, pois existem diversas ferramentas que permitem uma rápida identificação para uma posterior deleção da informação.
Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?
Na Europa, com a GDPR, há um prazo de 72 horas para avisar a agência nacional. Aqui no Brasil não está estabelecido um prazo, porém é necessário avisar a agência e o titular do dado vazado. O tempo de correção ainda não foi estipulado.
A LGPD determina uma série de requisições para as empresas protegerem de forma eficaz os dados sensíveis. Pensando em tecnologia, temos dentro de um fluxo de implantação a Gestão de Identidades e Acessos. Como vai funcionar na prática a implementação desse sistema?
Dentre as soluções possíveis destaca-se o uso de soluções de Login Único, simplificando ao usuário ter apenas uma senha para múltiplos sistemas; outra solução é a de Acesso Condicional, em que é possível bloquear usuários que tentam acessar sistemas fora da empresa ou mesmo que estejam com seus dispositivos desatualizados; por último, a solução de Múltiplo Fator de Autenticação, garantindo que seja realmente o titular da conta o protagonista do acesso ao sistema. A escolha entre as soluções deve partir do Comitê de Segurança da Informação.
PALESTRA FOCADA EM LGPD
Como sua empresa está se preparando para a LGPD? O processo como um todo é complexo e envolve revisão dos processos internos além de diversas áreas da empresa. A revisão dos cadastros e das bases ligadas é uma das tarefas iniciais e mais desafiadoras e, por isso, é bom começar o mais rápido possível.
A LGPD Brasil oferece consultorias especializadas e realiza uma palestra por mês na própria sede para sanar dúvidas a respeito do tema e avaliar os impactos da lei.
Confira o dia da próxima data da palestra sobre LGPD e não deixe de participar. O evento é gratuito.