Central de atendimento · (047)30353777

Português pt English enEspañol es

Blog

Como a segurança da informação é afetada pela nova Lei Geral de Proteção de Dados

Segurança da informação e LGPD guardam uma relação íntima. A lei traz regras sobre coleta e tratamento de dados pessoais e sensíveis, e as empresas precisam se adequar às normas postas por ela. Mas isso não é tão simples, pelo contrário. Todos os processos de negócio das empresas no tocante à gestão das informações coletadas são afetados.

Para garantir a conformidade, os gestores devem entender, inicialmente, como a segurança da informação é afetada pela nova Lei Geral de Proteção de Dados. Neste post, falamos um pouco mais sobre o assunto.

A relação entre segurança da informação e LGPD

A relação entre segurança da informação e LGPD diz respeito à privacidade e à proteção de dados pessoais. A lei traz muitos benefícios para a empresa quanto à prática de segurança por prever a utilização de medidas administrativas e técnicas que aprimoram a cibersegurança

Pode-se dizer que muitos pontos da Lei Geral de Proteção de Dados já se constituem como boas práticas na segurança da informação. Uma dinâmica fundamental de TI, por exemplo, é a garantia de prevenção à fraude, o que assegura a integridade dos dados. Esta prática está prevista na LGPD.

Em resumo, falar de segurança da informação e LGPD é, além de falar de tecnologias e melhores práticas técnicas, abordar o universo de governança, riscos e compliance. Isso possibilita entender criptografia de informações, controle de acessos, criação de camadas de segurança, análises e testes, habilitação de autenticação. Todas essas práticas, já presentes no dia a dia empresarial, são reforçadas com a lei.

Não custa lembrar que dados de 2018 apresentados no Global Risk Report, do Fórum Econômico Mundial, aponta que, até 2023, atingiremos US$ 8 trilhões de custos de crimes cibernéticos contra empresas. A violação à privacidade e o vazamento de dados é a maior ameaça.

Considerando esse contexto, as condutas adequadas à LGPD minimizam o risco de perda financeira e reputação das empresas.

Os impactos da LGDP nas empresas

A adoção de soluções tecnológicas de ponta não garantem a adequação à LGPD. Por este motivo, as empresas precisam compreender os principais impactos da lei em suas atividades para garantir a conformidade. 

O primeiro ponto que merece a atenção do gestor de TI é a necessidade de investimento em cibersegurança, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados. Isso é fundamental, porque a lei considera a adoção de boas práticas como um critério atenuante para eventuais penalidades.

Outra questão fundamental é a nomeação do Encarregado de Proteção de Dados (DPO – Data Protection Officer), cuja principal atividade será o monitoramento e a disseminação de boas práticas de proteção de dados pessoais dentro da organização e perante os stakeholders. Ele também será a interface com a Autoridade Nacional de Proteção de Dados (ANPD).

Por fim, será preciso dar atenção às práticas para garantir a conformidade entre segurança da informação e LGPD.

A conformidade da segurança da informação e LGPD

Uma pesquisa do Serasa Experian, de 2019, apontou que 81% das grandes organizações estão conscientes de que haverá impacto sobre os recursos tecnológicos para assegurar a conformidade estabelecida pela LGPD.

No entanto, é preciso, de fato, tomar as medidas direcionadas à segurança digital e cibernética que contemplam pessoas, processos e tecnologia. O ideal é contar com serviços, aplicações e soluções que se fundamentam em segurança da informação e LGPD.

Dados armazenados em infraestrutura local, por exemplo, podem demandar camada de proteção adicional para criptografar arquivos. Por sua vez, estes não podem ser acessados sem autorização, motivo pelo qual será preciso ter uma política de acesso eficiente, com gestão da identidade.

Para dados armazenados em dispositivos móveis, é possível utilizar recursos de gerenciamento que movem a camada de criptografia para os aplicativos e aplicam controles adicionais sobre o compartilhamento.

Em qualquer caso, a conformidade com a LGPD deve levar em consideração governança, conformidade documental (adequação jurídica de termos, contratos e políticas de privacidade e de proteção de dados) e conscientização. A governança merece destaque especial.

Governança 

A governança de segurança da informação e LGPD inclui a gestão de incidentes e de riscos, o mapa de dados e o DPO.

Uma boa gestão de incidentes inclui um comitê que trata do evento ocorrente, de forma a minimizar seus efeitos para a empresa. Ela também faz uma base de dados dos incidentes ocorridos, de modo a documentar as vulnerabilidades e otimizar a prevenção. 

Neste ponto, vale a lembrança de que a LGPD obriga a informação de qualquer incidente que envolva vazamento de dados pessoais à ANPD.

A gestão de riscos, por sua vez, é uma das boas práticas de adequação quanto à governança. Por meio dela, o gestor identifica os riscos inerentes, elaborando um mapa de calor dos riscos conforme seu impacto e a probabilidade de ocorrência. 

A identificação de riscos e ameaças do ambiente organizacional envolve testes de vulnerabilidades e de invasão, com o objetivo de encontrar ameaças e fragilidades do ambiente tecnológico. A partir da identificação, é feita uma análise da relação entre segurança da informação e LGPD. O que precisa ser ajustado conforme a lei?

Essa prática proporciona ao gestor ter uma previsão de como se pode controlar e mitigar os riscos.

Já o Mapa de Dados é uma atividade extensa, pois envolve todas as áreas do negócio. Afinal, todas elas tratam dados pessoais, como é o caso dos dados dos colaboradores, que também são pessoais. Um mero atestado médico para o colaborador, com CID, já traz informação sensível.

Este mapa, então, ajuda o gestor a identificar os processos da empresa que tratam dados pessoais. Eles abrangem desde o atendimento ao cliente pessoa física até o fornecedor e o colaborador. Dessa forma, ajuda a dar visibilidade sobre a forma de tratamento de dados pessoais, bem como as lacunas quanto ao tratamento.

O Encarregado de Dados (DPO), conforme apontamos, fará o monitoramento e a disseminação das práticas de proteção de dados pessoais dentro da organização. Ele será fundamental para a conscientização e a capacitação de gestores e colaboradores.

A relação entre segurança da informação e LGPD é próxima, porque a lei traz a necessidade de se adotar medidas técnicas de segurança e boas práticas de Data Protection. Análise de vulnerabilidades, adequação e automatização de processos, e digitalização de dados é apenas uma abordagem.

Práticas como privacy by design anonimização, monitoramento passam a fazer parte da rotina empresarial. Você está preparado?

Nós usamos cookies em nosso site para oferecer a melhor experiência possível. Ao continuar a navegar no site, você concorda com esse uso. Para mais informações sobre como usamos cookies, veja nossa Politica de Privacidade.
Continuar