Quando a tecnologia minimiza impactos com a LGPD
LGPD

Quando a tecnologia minimiza impactos com a LGPD

Diante do cenário de transformação digital, a tecnologia vive um momento especial, ajudando a otimizar tempo, aumentar a produtividade, melhorar a qualidade, gerar novas oportunidades de negócio e ajudar na tomada de decisões.

Ela tem um papel fundamental na forma como a sociedade passou a consumir informação, gerando um volume de dados que praticamente duplica a cada dois anos. Esse é um cenário ideal para as organizações, que passaram a ter um novo ritmo para entregar serviços e lançar produtos em uma corrida desenfreada.

Mas, como diante de um cenário tão favorável para novos negócios, como estar em compliance com legislações sobre proteção de dados?

Com a Lei Geral de Proteção de Dados (Lei 13.709/2018), será necessária uma mudança de cultura muito grande para as organizações. De acordo com o Art. 46. : “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

O tema de segurança da informação foi noticiado em diversas mídias nos últimos anos por conta de diversos escândalos de vazamento de dados e ataques cibernéticos e adotar medidas de segurança, técnicas e administrativas aptas a proteger dados pessoais não é uma tarefa trivial.

Apesar da constante evolução e surgimento de novas tecnologias como IoT (Internet of Things – conhecido como a Internet das Coisas), Inteligência Artificial, Analytics e Machine Learning, a preocupação com o tema de Segurança da Informação é muito recente, tanto por parte das organizações quanto a indústria de tecnologia.

Isso pode ser facilmente observado ao analisar o Top 10 das vulnerabilidades em dispositivos IoT, disponibilizado através da organização internacional OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, onde falhas conhecidas no mercado de Segurança da Informação a mais de uma década está sendo detectada em dispositivos produzidos atualmente, o que é uma falha gravíssima e alta ainda mais a complexidade das organizações em manter um ambiente com riscos minimizados.

Como um pilar estratégico, a área de tecnologia da informação deve agora tratar aquilo que já deveria ser uma normativa interna para estar conformidade com a legislação, que são os alicerces de governança, gestão de riscos e segurança da informação. Ainda assim, ela não pode ser a única a conduzir o projeto de conformidade, assim como não deve ser responsabilidade exclusiva da área jurídica/compliance. A mudança e envolvimento da alta direção é fundamental, uma vez que a aplicação da Lei não tornará os negócios inviáveis, mas será necessária uma inteligência na adequação com a Lei para que a estratégia de conformidade agregue valor ao negócio, diferencial competitivo e eleve o nível de maturidade dos seus processos e uso de tecnologia.

A legislação brasileira sobre proteção de dados pessoais possui um rigor nas sanções administrativas, sendo possível entre as medidas de punição a aplicação de multa (até 2% do faturamento do grupo ou conglomerado, com teto de até 50 milhões de reais), bloqueio e eliminação dos dados pessoais. Além disso, na ocorrência de incidentes de segurança da informação, a organização deverá prestar informação à Autoridade Nacional de Proteção de Dados (ANPD) que deverá conter, no mínimo:

  • A descrição da natureza dos dados pessoais afetados
  • As informações sobre os titulares envolvidos
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial
  • Os riscos relacionados ao incidente
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo

Essa listagem de informações, que a legislação coloca como o mínimo necessário, já é um desafio e tanto para muitas organizações gerarem atualmente como evidência. Um mix de soluções de segurança da informação é necessário como por exemplo DLP (Data Loss Prevention), SIEM (Security Information and Event Management), Criptografia, Controle de Acesso, Análise de Vulnerabilidade, Pentest, Gestão de Atualizações, tudo isso para alcançar as medidas de controle e evidências de conformidade.

Percebe-se que a LGPD vai muito além do que uso de recursos de tecnologia, apesar de ser uma parte muito importante no processo total de conformidade e que tecnicamente será desafiador para organizações, pois o déficit de profissionais qualificados no tema é bastante escasso no mercado. Uma informação que pode servir de alerta para refletir essa falta de domínio sobre o assunto é que no relatório de 2019 (com base em números de 2018) da empresa Fireeye, em média as organizações levaram 78 dias para detectar violações de segurança, isso em uma estatística mundial. Esse é um número que deixa qualquer CIO (Chief Information Officer)e/ou CISO (Chief Information Security Officer) com o coração na mão, ainda mais em período de legislações sobre proteção de dados pessoais.

É necessário a implantação de uma cultura de Privacy by Design, onde desde a concepção de um produto ou serviço as medidas de segurança para proteger as informações já devem ser incorporadas, e não adaptadas em outras fases, em que quanto mais tarde falhas de segurança forem detectadas, mais caro será a sua correção.

Um ativo intangível que pode ser atingido com violações de segurança da informação é a reputação e credibilidade da organização, algo que se leva bastante tempo para conseguir no mercado e facilmente pode ser desconstruído. A inovação tecnológica ela deve ocorrer de forma prudente, utilizando a segurança da informação como uma alinhada na composição, não como uma barreira ou inviabilizar o avanço da organização.

Referências:

http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
https://content.fireeye.com/m-trends

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *