A todo momento estamos concedendo dados e organizações estão os coletando, seja de maneira física ou digital. Fornecemos nossos dados pessoais para termos acesso às redes sociais, Wi-Fi de estabelecimentos comerciais, ferramentas de produtividade, acessar músicas e filmes, fazer compras online.
A fim de estabelecer um equilíbrio entre o interesse das pessoas e o uso desse imenso volume de informações pelas corporações, novas leis entraram e vigor e continuam em desenvolvimento, como a GDPR (General Data Protection Regulation) na Europa e a LGPD (Lei Geral de Proteção de Dados) no Brasil.
Essas novas regulamentações foram desenvolvidas com o objetivo de prover segurança tanto para os titulares quanto para as organizações. Hoje, os dados são muito valiosos e o mau uso dessas informações pode trazer prejuízos aos titulares de dados e/ou as empresas. Em vista disso, as companhias precisam otimizar o armazenamento e a proteção de todas as informações que identificam os titulares de dados.
Antes de qualquer coisa, precisamos entender a diferença entre privacidade e proteção de dados. Em linhas gerais, proteção de dados refere-se à proteção contra acesso não autorizados. Já a privacidade trata de quem acessa tais informações e quem consente acesso para determinada finalidade. Ambos os processos devem ser tratados por times multidisciplinares, criando desafios nas áreas de TI e Segurança da Informação.
Como atender as novas demandas de privacidade e proteção de dados
É imprescindível que haja controle e visibilidade total dos dados pessoais pelos Controladores de Dados (empresas que coletam os dados pessoais de clientes, fornecedores e outros parceiros de negócio) e Operadores de Dados (cujos dados dos Controladores são recebidos para operações de tratamento).
Há mecanismos que mapeiam as informações em todo ambiente digital. Porém, somente essa ação não deixará a empresa em conformidade.
O processo de mapeamento consiste em identificar como a empresa faz o tratamento de dados para ter a visão de como funcionam o armazenamento, acesso, organização, proteção e compartilhamento dos dados.
A maneira mais efetiva de garantir que os dados sejam devidamente identificados é ter ferramentas e processos que façam uma monitoração continua desses dados tanto para fontes de dados conhecidas como identificando fontes desconhecidas usando um network approach.
Quais dados?
Dados pessoais: aqueles relacionados à pessoa identificada ou identificável, tais como endereço; telefone; e-mail; RG, CNH e CPF; Carteirinha de Plano de saúde; dados bancários e entre outros. Os dados que podem levar à conclusão de que uma determinada pessoa é um titular também devem ser considerados, como por exemplo seu histórico de consumo, resultados de exames e toda a informação que analisada em contexto chegue a identificar uma pessoa.
Dados Pessoais Sensíveis: origem racial ou étnica; opiniões políticas; convicções religiosas ou filosóficas; dados relacionados com a saúde; dados relativos à vida sexual ou orientação sexual da pessoa. Esses dados necessitam um nível de tratamento ainda mais detalhado e com mais pontos de controle.
Desafios em aplicar governança de privacidade de dados
A LGPD tornou essa tarefa complexa principalmente porque os dados trafegam pelas aplicações e bancos de dados, seja pela rede dos Controladores de Dados, ou através de compartilhamento com os Operadores de Dados.
No cenário atual, muitos imaginam que para iniciar um plano de conformidade com LGPD basta uma pequena atualização nas políticas de segurança de informação, mas não é tão simples assim. Será preciso um plano de governança de privacidade de dados para que as companhias estejam preparadas para mitigar riscos, prevenir e responder à incidentes de privacidade.
Além disso, fazer todas as adequações contratuais e de termos jurídicos não será o bastante se as informações estiverem vulneráveis. As empresas devem revisar suas tecnologias e ferramentas para que possam assegurar proteção à esses dados. Ferramentas e serviços que apoiam o registro de processos, apoiam na governança, apontam e mensuram riscos e coletam informações de forma colaborativa dentro das organizações serão um grande diferencial para atender as necessidades dos titulares e da ANPD (Agência Nacional de Proteção de Dados).
Nossa visão é que a LGPD irá auxiliar as corporações a elevarem seus níveis de maturidade em Segurança da Informação na medida em que novas políticas de gestão e proteção de dados devam ser criadas por força regulatória.
A Etek NovaRed possui equipes capacitadas em todas as disciplinas tradicionais de proteção de dados bem como nas novas áreas de governança de privacidade para apoiar seus clientes na jornada de conformidade com a LGPD desde a preparação para atendimento a legislação quanto na operação continua após sua entrada em vigor.
Por Adriano Galbiati – Diretor de Operações Etek NovaRed Brasil