Com adiamento ou não, empresas devem avançar com a adequação à LGPD

Pesquisas apontam que a maioria das empresas não estará em condições plenas para atender às novas regras. O Gartner, por exemplo, prevê que menos de 30% das organizações irão cumprir totalmente a nova lei de proteção de dados até agosto de 2020. Outra recente pesquisa, da Serasa Experian, é alarmante e mostra que cerca de 85% das empresas não estão prontas para a LGPD.

Por esta razão, já existe um debate sobre possível adiamento do prazo para a entrada em vigor da LGPD: no dia 30 de outubro, a Câmara do Deputados recebeu um projeto de lei neste sentido.

Não importa se já está em discussão um possível adiamento da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), prevista para começar a valer em agosto de 2020: as empresas e suas equipes devem se organizar para garantir que as informações de seus clientes – interno e externos – possam receber o tratamento correto para se garantir a privacidade necessária das informações.

É imperativo que as empresas – independentemente do prazo legal - o que as empresas se adequarem à nova realidade e executem um plano eficiente para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais. O primeiro passo é entender que esta tarefa não é apenas do Departamento de TI, ou do Jurídico, encabeçando o processo. Trata-se de um trabalho multidisciplinar, com a determinação de um Encarregado de Proteção de Dados (EPD), mais conhecido como o DPO - Data Protection Officer. O passo seguinte é montar uma equipe multidisciplinar e comunicar e treinar toda a organização para esta tarefa.

Com isso, destacamos as principais medidas a serem adotadas no processo de adequação e que devem envolver:

1 - Conhecer a LGPD;
2 – Constituição de equipe multidisciplinar e definição do Encarregado de Proteção de Dados (EPD/DPO);
3 - Definição de papéis dos participantes da equipe multidisciplinar;
4 - Mapeamento e identificação dos dados de clientes em poder da organização;
5 – Definição das necessidades para tratamentos dos dados;
6 - Definição das ferramentas de softwares de apoio;
7 – Adequação e execução das normas;
8 – Monitoramento;
9 - Tratamento e ação;
10 - Relatórios das conformidades.

Segurança, sigilo dos dados e políticas de boas práticas

Abordadas nas seções I (artigo 46) e II (artigo 50) da Lei, a segurança e sigilo dos dados e as boas práticas e governança devem nortear as ações das empresas, devendo estas a se atentarem ao conteúdo dos dados que serão manuseados, assegurando que eles não caiam em mãos erradas, que sejam manuseadas incorretamente ou sejam subtraídas ou desviadas da organização via roubo digital ou endereçamento incorreto.

As empresas – a partir da equipe multidisciplinar e o encarregado de dados - devem formular as regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Tecnologias de apoio: soluções para identificação, mapeamento e prevenção de vazamentos de dados sensíveis

Outro grande desafio é estabelecer o conjunto adequado de sistemas de software capazes cobrir todos os aspectos da Lei e de permitir às empresas garantam os dados estejam protegidos. Com o advento da LGPD – assim como a europeia GDPR -, uma grande quantidade de soluções de software vêm sendo apresentadas para ajudar as empresas nesta tarefa. Selecionamos três delas com as quais as empresas podem começar a sua adequação, baseadas na lista citada anteriormente:

- Gerenciamento de credenciais - Os dados – por meio de sistemas - devem ser acessados apenas por pessoal com as credenciais adequadas para isso. Para gerenciar as credenciadas, o adequado é o uso de um sistema chamado de “cofre de senhas, que permitirá criar, armazenar e gerenciar as credenciais de acesso às aplicações, de acordo com a função exercida pelo usuário que terá ao acesso aos dados. Importante: não é porque a pessoa ocupa o mais alto posto na companhia que ela tem direito de acesso a todas as informações;

- Auditoria de servidores de arquivos – Este tipo de soluções visa garantir total controle dos dados nas redes corporativas, com visibilidade ilimitada de todas as alterações realizadas em arquivos e pastas, além de monitorar os acessos – tentativas e efetivados -, e permissões de compartilhamento. Entre as funcionalidades que esta aplicação deve ter estão: capacidade de auditoria de file server, monitoramento de integridade de arquivos, quarentena de ransomware e malware de todo tipo, descoberta de dados e análise de armazenamento;

Central de endpoints – Permite monitorar e revelar possíveis brechas e vulnerabilidades na rede, a partir de todos dispositivos – desktops, servidores e mobile -, acompanhando o crescimento contínuo da quantidade de dispositivos de endpoint nas empresas. Quantos mais dispositivos e usuários conectados, maior será a necessidade de gerenciamento efetivo de segurança. Este tipo de soluções deve considerar: ferramenta de gerenciamento unificado de terminal (UEM), criptografia de dados, estratégias de backup, atualizações de patches, inclusão e descarte adequado de dispositivos.

Neste âmbito, e nos três casos, as soluções deverão possibilitar gerar relatórios para atender às auditorias de segurança e conformidade regulamentar, como SOX, HIPAA, PCI, DSS, SOX e também a lei de proteção de dados europeia, a GDPR e já estão prontas para a LGPD.

(*) Diretor Comercial da ACSoftware, fornecedora de tecnologias e serviços baseados nas tecnologias ManageEngine.