O ano de 2023 traz consigo uma expectativa: o início da aplicação das penalidades pela Agência Nacional de Proteção de Dados (ANPD) e o fim do “limbo” fiscalizatório. O brasileiro tem uma cultura bastante peculiar, de esperar algo acontecer para começar a se preocupar. Já houve um bom período para adequação e conscientização com relação à lei, de modo que em um eventual processo fiscalizatório sobram poucos argumentos para não estar em conformidade até o momento. O melhor é se adequar.
Desde 2018, o tema da privacidade vem passando por um amadurecimento dentro das empresas, com companhias saindo literalmente do zero para essa jornada.
Acompanhando de forma direta esse amadurecimento temos visto que o processo de descoberta de dados mudou e hoje só faz sentido quando baseado em tecnologia. Embora o método inicial de entrevistas possa dar uma ideia a respeito dos dados que estão sendo processados e do contexto de suas respectivas operações, apenas o uso de tecnologia traz certezas e permite uma visibilidade e consequentemente uma proteção efetiva dos dados.
O primeiro passo para quem quer iniciar nessa jornada é escolher uma ferramenta adequada para conectar seus bancos de dados, entender seus fluxos e desenhar um projeto pensando em ciclo de vida e expurgo desses dados. Tendo isso feito, uma variedade de descobertas acontece.
Em geral, no momento em que se instala na empresa uma ferramenta de descoberta de dados, descobre-se que, por exemplo, o RH acreditava que coletava nome, cargo, e-mail e telefone de um determinado grupo de pessoas. Mas, na verdade, os arquivos da área também armazenam outros tantos dados pessoais desses mesmos cidadãos. Nessas e em outras situações, a automação em governança ajuda a empresa a ter uma visibilidade real dos dados processados na operação como um todo.
Ter essa ferramenta de descoberta de dados é importante porque nenhuma empresa tem capacidade de configurar medidas de proteção e segurança de dados quando não sabe exatamente quais informações possui, seja em bancos, sistemas ou aplicações. Também é por meio dela que torna-se mais possível gerenciar a ação de compartilhar dados com terceiros. Sabendo exatamente a volumetria e o tipo de dado, através de um inventário completo torna-se possível mapear, acompanhar e revisar as boas práticas desses parceiros com relação à privacidade e proteção desses mesmos dados.
A automação é um processo fundamental para garantir que seja armazenado somente o proposto, o desejado e o necessário. Nada mais, nada menos. As ferramentas com base no seu desenho de projeto farão com que não haja mais surpresas de nenhum lado e que se tenham evidências eficientes para apresentar às autoridades no caso de autuações, o que minimiza bastante os riscos para sua organização.
O mínimo que uma organização deve fazer para não ficar no radar da fiscalização da ANPD e conseguir se defender de uma multa é ser capaz de provar que na estrutura organizacional existe uma diligência com relação a ameaças cibernéticas internas e externas. A melhor postura para isso é a utilização de soluções de governança de privacidade somada a um discovery efetivo de dados, assim como a conscientização das pessoas que operam as informações.
Não se trata de um caminho simples. Em muitas organizações, o orçamento é restrito e nem sempre tratado com prioridade. Há, ainda, aquelas em que os DPOs embora tenham sido nomeados, detém pouca autoridade sobre o orçamento e poder de decisão bastante limitado. Esses cenários com os quais nos deparamos por vezes, faz com que a empresa fique andando de lado quando o assunto é privacidade e proteção de dados.
Caso você ainda tenha dúvidas sobre o papel da automação e governança como um investimento e não um custo, basta lembrar que ela protege um ativo intangível do negócio: a reputação. Toda empresa depende da confiança de seus clientes, prospectos, colaboradores, parceiros comerciais, investidores e da própria imagem que projeta para o mercado de uma forma geral. Diante de uma crise de credibilidade causada por um vazamento ou ataque cibernético bem sucedido, as ações caem e o número de clientes reduz, a imagem fica prejudicada em níveis muitas vezes difíceis de mensurar, conter ou reverter.
Por fim, é importante mencionar que nas empresas em que os projetos de automação em descoberta foram implementados, essa iniciativa se tornou uma excelente aliada para outras áreas além da privacidade, como por exemplo a área de segurança, ajudando a ter visibilidade dos dados e configurar proteções adicionais, fraudes e investigações e até mesmo inteligência do negócio.
Simone Santinato, DPO na NovaRed Brasil
Fonte: IT Forum