I - Introdução
A Lei Geral de Proteção de Dados (LGPD), tendo como base o Regulamento Geral de Proteção de Dados (GDPR), que entra em vigor em agosto de 2020, é talvez hoje um dos temas mais comentados, discutidos e trabalhados no meio empresarial, nas esferas dos governos federal, estaduais e municipais.
Como citado em seu artigo 1, a LGPD tem como objetivo o tratamento de dados pessoais para proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Desta forma, os profissionais da área de direito e da tecnologia da informação, principalmente ligados ao segmento de segurança da informação vem se qualificando no intuito de atenderem a todos os requisitos previstos pela nova Lei.
Todavia, para que uma organização esteja adequada a LGPD, existe uma sequência de atividades que devem ser executadas antes da sua implantação/implementação. Esse artigo apresenta um pequeno roteiro de atividades para que a sua Organização possa se adequar à LGPD.
II - Roteiro
As organizações em sua grande maioria ainda não estão preparadas para atenderem a todos os requisitos citados na LGPD. A proteção de dados pessoais quanto a sua privacidade faz da segurança da informação um dos seus principais requisitos. Essa afirmação deve-se ao fato que não existe privacidade sem segurança da informação. Logo, vários fatores deverão ser levados em consideração para o tratamento dos dados do titular que estão sob a responsabilidade do controlador/processador.
Sendo assim, seguem algumas tarefas que uma organização deve realizar para se adequar a LGPD:
1 – Como em segurança da informação, onde uma organização estabelece um comitê de segurança da informação, a organização deve estabelecer um comitê de implantação da LGPD.
a. Este comitê poderá ser composto por membros da alta direção, gestores de negócio, gestor de segurança e a equipe jurídica.
2 – Ter conhecimento norma ISO 27701 além das normas ISO 27001, ISO 27002 que são complementares.
3 – Estabelecer o processo de mapeamento dos dados pessoais.
a. Inicialmente crie uma política de privacidade. Com base nessa política, poderá ser estabelecido todos os procedimentos para coleta, armazenamento, ... dos dados pessoais, além dos procedimentos de segurança da informação.
b. O processo consiste inicialmente em verificar/determinar os responsáveis pelos dados. Identificar a localização dos dados a serem coletado, bem como será realizada a coleta dos mesmos. Por fim, determinar a forma e a localização do armazenamento dos dados coletados.
c. Vale a pena ressaltar que os dados coletados devem ser o mínimo necessário para a realização da tarefa ao qual está relacionada. Os sistemas não deverão coletar dados desnecessários a realização das tarefas.
d. Outra questão importante é o tempo que os dados ficarão armazenados. Por exemplo, ao término das atividades para o qual foram coletados, deverão ser descartados, ficando somente aqueles que forem necessários, por exemplo, à questões financeiras. Desta forma, deve-se criar uma planilha com os dados que serão retidos após o término das tarefas.
4 – A classificação dos dados pessoais é de extrema importância. Isso porque poderão ser identificados, via essas classes, o que são ou não dados sensíveis. No caso de dados considerados sensíveis, o tratamento dos mesmos será diferente.
5 – Realizar uma análise/avaliação dos sistemas da organização, bem como de terceiros com o objetivo de verificar os gaps quanto à conformidade à LGPB.
6 – Segurança dos dados
a. Trabalhe os seus processos de segurança da informação. Crie a sua política de segurança da informação.
b. Dentro dessa PSI, especifique uma política de controle de acesso aos dados durante todo o seu ciclo de vida.
c. Estabeleça uma política de descarte desses dados, em conformidade, por exemplo, com o tempo de armazenamento.
d. Estabelecer uma política de criptografia quando necessário.
e. Tratar a segurança da informação em dispositivos BYOD (notebooks, celulares, ...). Por exemplo controle de acesso, criptografia dos dados.
f. Estabelecer procedimentos para tratamento e resposta à incidentes de segurança da informação.
g. Capacitar e treinar a equipe no tange a incidentes de vazamento, roubo ou violação quanto à integridade dos dados pessoais.
h. Tratar questões relacionadas à segurança física (mídia papel, pen-drive, ...) e de pessoal (o que pode ser falado ou discutido e com quem).
i. Realizar uma análise/avaliação de riscos.
j. Testar a eficiência dos procedimentos de segurança da informação adotados.
7 – Criar um documento para que o titular dos dados autorize os uso dos dados (consentimento de uso) pela organização.
8 – Qualificar ou contratar um profissional para ser DPO (Data Protection Officer). Esse profissional irá ajudar na implantação dos procedimentos de segurança.
III - Aspectos Conclusivos
Como pode ser constatado, a adequação de uma organização à LGPD demanda várias atividades, que na maioria das vezes não existem profissionais plenamente capacitados ou o próprio dia a dia da organização incapacita dedicar um ou mais profissionais para realizar essas tarefas.
Logo, a contratação de uma consultoria para a realização dessas tarefas é talvez a melhor solução. A ALIX TECNOLOGIA CORPORATIVA com a sua equipe está qualificada e pronta para atender essa demanda. Procure os nossos consultores.
Luiz Otavio Lento Senior Security Advisor & DPO
Baixe o GUIA DEFINITIVO DA ADEQUAÇÃO COMPLETA A LGPD da ALIX
Opmerkingen