Blog

por Josias Rafael Wagner
18 de novembro de 2019
Prepare seu orçamento de TI 2020 para estar de acordo com a LGPD
A LGPD (Lei nº 13.709/2018) vem sendo um dos assuntos mais discutidos no ambiente empresarial. E isso é ótimo, já que realmente quem não se adequar às novas regras de proteção de dados pessoais, pode sofrer grandes consequências.
Já está na hora de reestruturar a empresa para que ela esteja adequada à lei o quanto antes. Nesse caso, vamos dar algumas dicas de como você pode preparar o seu orçamento de TI para a adequação à LGPD.
No que investir? Quais ferramentas obter? O que realmente deve ser reestruturado no setor de TI?
Embora não seja possível falarmos sobre valores de investimento, já que cada empresa apresenta desafios diferentes de adequação à lei, vejamos as áreas que você precisa prestar atenção:
Treinamento de funcionários
Este é um investimento fundamental, já que trata-se de uma mudança de cultura dentro da empresa. A partir de agora, todos devem compreender que a coleta, o armazenamento e a proteção dos dados de clientes e fornecedores precisa se manter sob um forte esquema de segurança. Qualquer coleta indevida ou vazamento pode acarretar sanções pesadas.
Então, na prática, é importante que a empresa revise ou crie uma política de segurança dos dados com base na LGPD – isso diz respeito, também, ao uso de equipamentos pessoais que os colaboradores levam para serem utilizados na empresa. É preciso deixar claro o que pode e o que não pode ser feito.
Portanto, não economize em promover treinamentos e palestras sobre o tema para que não haja dúvidas.
Governança de dados e nomeação de um DPO
Para se adequar à LGPD e evitar erros, também é importante que a empresa coloque no orçamento de TI o investimento em uma estrutura de governança de dados, já que
e uma gestão que centraliza e organiza (direta ou indiretamente) o uso das tecnologias, os recursos humanos, as políticas da empresa e os processos produtivos.
Ainda dentro dessa estrutura, será preciso nomear um DPO para essa gestão. O Data Protection Officer – ou Encarregado de Proteção de Dados – é um profissional que será o responsável por criar as normas e os procedimentos adequados, ser o mediador entre as empresa e a ANPD (e também entre a empresa e os titulares dos dados), além de ajudar na criação da cultura de proteção de dados da empresa.
De acordo com o parágrafo 2º do artigo 41 da LGPD, as atividades do DPO consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Efetuar uma análise de riscos adequada para entender as atuais lacunas existentes e de fato mitigar os riscos residuais que por ventura existam.
Revisão de contratos, terceirizados e contratação de ferramentas
Outro investimento a ser feito no orçamento de TI para adequação à LGPD é a revisão e/ou alteração de contratos, fornecedores, terceirizados e ferramentas. Todos esses terceiros também precisam estar em compliance com as normas internas e externas.
Na prática, pode ser preciso investir na contratação de um equipe jurídica para revisar todos esses contratos e fazer os ajustes necessários. Caso não haja acordo, não hesite em contratar novos fornecedores.
Ferramentas de segurança de dados
Você notou que até o momento falamos muito em mudanças culturais dentro da empresa (que sim, exigirão investimentos financeiros), mas até o momento não havíamos citado nenhuma ferramenta tecnológica?
Isso reforça a importância de preparar as bases – ou seja, preparar as pessoas que utilizarão as ferramentas – antes de investir na tecnologia.
Bom, é importante dizer que, independentemente das ferramentas tecnológicas escolhidas, elas precisarão cumprir quatro requisitos básicos para facilitar o monitoramento dos dados: integração das informações; backup; atualizações e medidas de segurança.
Nesse caso, confira algumas dicas:
- Invista em NOC e em ferramenta de monitoramento dos dados em tempo real em todo o seu ambiente de TI (como o Splunk);
- Invista em uma ferramenta de backup dos dados (lembre-se que não é uma obrigação do provedor fazer um backup no banco/servidor de dados. É a sua empresa que precisa solicitar, mas também não abra mão de realizar backup de forma física).
- Invista em solução de Segurança como Firewall de perímetros, Data Loss Prevention (Prevenção contra vazamento de Dados), Antimalwares e Antispam para evitar o vazamento de dados e incidentes através de ataques e criminosos digitais.
- Caso utilize soluções de cloud computing, utilize um mapeamento de riscos e defina os critérios de acesso aos dados, aos servidores e os níveis de segurança (saiba aqui como o cloud computing pode ajudar sua empresa a estar em compliance);
- Automatize o consentimento da coleta dos dados nos sites e aplicativos da empresa que seus clientes utilizam. Lembre-se também de armazenar todos os consentimentos de forma segura.
São muitos processos, não é mesmo? Mas, calma. Aqui na Indyxa nós podemos ajudar sua empresa a mapear o que é preciso ser feito e quais ferramentas investir para que ela esteja completamente adequada à LGPD em 2020. Entre em contato com a nossa equipe agora mesmo.