Por Luiz Otávio Lento
Com a implantação da LGPD, as Organizações estão buscando cada vez mais profissionais qualificados para a adequação à Lei. Uma das grandes preocupações nesse processo é a segurança da informação. Essa preocupação deve-se ao fato de que não existe privacidade sem segurança. Logo, a proteção dos dados pessoais é fundamental para garantir a sua privacidade.
Esse artigo busca de forma rápida e simples, com base nas dificuldades encontradas por mim durante o processo de adequação à LGPD nas organizações (relacionadas à segurança da informação), apresentar como se pode minimizar as brechas existentes e assim mitigar os riscos aos dados pessoais.
O que fazer?
Como consultor, pude constatar que a maioria das empresas que visitei e trabalhei na adequação à LGPD tinham problemas com a segurança da informação. A necessidade da realização de uma avaliação da eficiência da segurança da informação, bem como quanto os controles existentes são suficientes para garantir a privacidade dos dados pessoais, sendo fator fundamental de sucesso para mitigar os riscos existentes na Organização.
Como Fazer?
Inicialmente deve-se realizar uma análise/avaliação dos riscos na organização, não deixando de avaliar todos os dados pessoais existentes durante seu ciclo de vida. Na análise/avaliação de riscos, deve-se:
Verificar quais as vulnerabilidades existentes;
Verificar quais são as possíveis ameaças;
Analisar os controles de segurança existentes;
Verificar os impactos no caso de vazamento desses dados;
Calcular o risco existente.
Conhecidos os riscos existentes, tem-se condições de selecionar e implantar os controles necessários, possibilitando alcançar o objetivo de mitigar os riscos calculados, trazendo-os a um nível considerado aceitável.
Para que isso seja possível, existe a necessidade de um plano de ação. Esse plano serve para dar direcionamento nas atividades a serem realizadas, bem como acompanha-las, sendo um elemento básico no processo de implantação dos controles de segurança.
Próximos Passos
Com o conhecimento dos riscos e quais controles deverão ser aplicados, a criação de uma Política de Segurança da Informação (PSI) deverá ser o próximo passo a ser executado.
A PSI deverá conter todas as regras necessárias para que as boas práticas de segurança possam ser implantadas. Todos os colaboradores da Organização deverão ser conhecedores da PSI, e assim poderão trabalhar em conjunto para minimizar os incidentes de segurança da informação previstos durante a etapa de análise/avaliação de riscos.
Não se pode esquecer que com a LGPD em vigor (mesmo com as sanções somente em 2021), todos os dados pessoais deverão sofrer um tratamento adequado para garantir a sua privacidade.
Para isso, o Controlador, responsável pelo tratamento dos dados, dividindo essa responsabilidade com o Processador, deverá estar atento a todo o processo de maturidade de segurança na Organização. Essa constatação se deve ao fato de que ambos possuem responsabilidades na manutenção da privacidade dos dados pessoais durante todo o seu ciclo de vida. Logo, ambos devem ser responsáveis pela implementação de todos os controles, bem como monitorá-los e mantê-los atualizados.
Outro aspecto importante é que uma análise/avaliação de riscos deve ser realizada periodicamente ou sempre que ocorrer alguma alteração de tecnologia ou inclusão de novos dispositivos de software no sistema computacional. Nunca se esqueçam que o criminoso virtual está sempre buscando novas oportunidades e vulnerabilidades, trabalhando no princípio da oportunidade.
Aspectos Conclusivos
O processo de adequação à LGPD não é algo que se faz da noite para o dia. É um processo abrangente que envolve todos os setores da organização e principalmente aqueles que manipulam dados pessoais. Não espere um incidente de vazamento de dados pessoais para se adequar. Trabalhe de forma proativa e inicie esse processo o quanto antes. Bom trabalho a todos.