Blog

Prepare seu orçamento de TI 2020 para estar de acordo com a LGPD

A LGPD (Lei nº 13.709/2018) vem sendo um dos assuntos mais discutidos no ambiente empresarial. E isso é ótimo, já que realmente quem não se adequar às novas regras de proteção de dados pessoais, pode sofrer grandes consequências.

Até o momento, a LGPD entrará em vigor a partir de agosto de 2020 – embora já exista um projeto de lei tramitando na Câmara dos Deputados de autoria do deputado Carlos Bezerra (MDB-MT) propondo que a data seja alterada para 2022. 

Porém, alterando a data ou não, já está na hora de reestruturar a empresa para que ela esteja adequada à lei o quanto antes. Nesse caso, hoje vamos dar algumas dicas de como você pode preparar o seu orçamento de TI para a adequação à LGPD. 

No que investir? Quais ferramentas obter? O que realmente deve ser reestruturado no setor de TI?

Embora não seja possível falarmos sobre valores de investimento, já que cada empresa apresenta desafios diferentes de adequação à lei, vejamos as áreas que você precisa prestar atenção:

Treinamento de funcionários

Este é um investimento fundamental, já que trata-se de uma mudança de cultura dentro da empresa. A partir de agora, todos devem compreender que a coleta, o armazenamento e a proteção dos dados de clientes e fornecedores precisa se manter sob um forte esquema de segurança. Qualquer coleta indevida ou vazamento pode acarretar sanções pesadas.

Então, na prática, é importante que a empresa revise ou crie uma política de segurança dos dados com base na LGPD – isso diz respeito, também, ao uso de equipamentos pessoais que os colaboradores levam para serem utilizados na empresa. É preciso deixar claro o que pode e o que não pode ser feito. 

Portanto, não economize em promover treinamentos e palestras sobre o tema para que não haja dúvidas. 

Governança de dados e nomeação de um DPO

Para se adequar à LGPD e evitar erros, também é importante que a empresa coloque no orçamento de TI o investimento em uma estrutura de governança de dados, já que 

e uma gestão que centraliza e organiza (direta ou indiretamente) o uso das tecnologias, os recursos humanos, as políticas da empresa e os processos produtivos. 

Ainda dentro dessa estrutura, será preciso nomear um DPO para essa gestão. O Data Protection Officer – ou Encarregado de Proteção de Dados – é um profissional que será o responsável por criar as normas e os procedimentos adequados, ser o mediador entre as empresa e a ANPD (e também entre a empresa e os titulares dos dados), além de ajudar na criação da cultura de proteção de dados da empresa. 

De acordo com o parágrafo 2º do artigo 41 da LGPD, as atividades do DPO consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Efetuar uma análise de riscos adequada para entender as atuais lacunas existentes e de fato mitigar os riscos residuais que por ventura existam.

Revisão de contratos, terceirizados e contratação de ferramentas

Outro investimento a ser feito no orçamento de TI para adequação à LGPD é a revisão e/ou alteração de contratos, fornecedores, terceirizados e ferramentas. Todos esses terceiros também precisam estar em compliance com as normas internas e externas. 

Na prática, pode ser preciso investir na contratação de um equipe jurídica para revisar todos esses contratos e fazer os ajustes necessários. Caso não haja acordo, não hesite em contratar novos fornecedores.

Ferramentas de segurança de dados

Você notou que até o momento falamos muito em mudanças culturais dentro da empresa (que sim, exigirão investimentos financeiros), mas até o momento não havíamos citado nenhuma ferramenta tecnológica?

Isso reforça a importância de preparar as bases – ou seja, preparar as pessoas que utilizarão as ferramentas – antes de investir na tecnologia.

Bom, é importante dizer que, independentemente das ferramentas tecnológicas escolhidas, elas precisarão cumprir quatro requisitos básicos para facilitar o monitoramento dos dados: integração das informações; backup; atualizações e medidas de segurança. 

Nesse caso, confira algumas dicas:

• Invista em NOC e em ferramenta de monitoramento dos dados em tempo real em todo o seu ambiente de TI (como o Splunk);
• Invista em uma ferramenta de backup dos dados (lembre-se que não é uma obrigação do provedor fazer um backup no banco/servidor de dados. É a sua empresa que precisa solicitar, mas também não abra mão de realizar backup de forma física).
• Invista em solução de Segurança como Firewall de perímetros, Data Loss Prevention (Prevenção contra vazamento de Dados), Antimalwares e Antispam para evitar o vazamento de dados e incidentes através de ataques e criminosos digitais.
• Caso utilize soluções de cloud computing, utilize um mapeamento de riscos e defina os critérios de acesso aos dados, aos servidores e os níveis de segurança (saiba aqui como o cloud computing pode ajudar sua empresa a estar em compliance);
• Automatize o consentimento da coleta dos dados nos sites e aplicativos da empresa que seus clientes utilizam. Lembre-se também de armazenar todos os consentimentos de forma segura. 

São muitos processos, não é mesmo? Mas, calma. Aqui na Indyxa nós podemos ajudar sua empresa a mapear o que é preciso ser feito e quais ferramentas investir para que ela esteja completamente adequada à LGPD em 2020. Entre em contato com a nossa equipe agora mesmo.