LGPD, veja como entrar em conformidade.

Neste artigo você irá encontrar uma visão ampla de como seguir em frente para implementar os controles necessários a LGPD.

Rodrigo C. R. Santos
Gestão de TI, Conformidade e Governança de TI
Há 2 anos aproximadamente, após 3 projetos de adequação aos requisitos da #LGPD, muitos colegas e parceiros de profissão ainda tem conversado comigo sobre dúvidas em como cumprir com os requisitos da nova Lei. Este breve artigo traz alguns links interessantes e uma abordagem mais ampla do que o foco nos instrumentos de controle necessários a conformidade com a #leigeraldeprotecaodedados, não deixando de abordar estes controles.

Atualmente a LGPD tem se tornado um dos assuntos mais abordados, alguns focam nas possíveis autuações, outros trazem uma complexidade muitas vezes desnecessária. O que geralmente me perguntam é: “Conhece um cara bom (técnico) de LGPD ?”.

Para responder essa pergunta, uso uma abordagem que talvez alguns concordem e outros discordem, mas o que importa mesmo é, sua empresa está fazendo o que para atender as exigências da Lei nº 13.709/2018 ? Se quer um “cara” bom de LGPD, contrate um Advogado Especialista, esse é o técnico das Leis. Se contratou alguém que o discurso é que vai “Implantar a LGPD”, agradeça educadamente e comunique que prefere a implantação do Governo Federal, pois quem implanta Lei, são eles. Agora se o discurso for, “Vamos implantar os controles necessários a conformidade com a LGPD”, parece um caminho mais seguro. Se estão te vendendo uma ferramenta (software) mágica que colocará sua empresa em conformidade com a Lei, agradeça, guarde as informações que podem ser necessárias futuramente, porém, também não existe uma solução mágica para conformidade com a LGPD, ferramentas são necessárias mas devem ser o último item a ser analisado.

LGPD é uma conformidade, ou você está em conformidade com a Lei, ou não está, as ferramentas embarcam as políticas e os processos, sem estes, as ferramentas não tem como serem parametrizadas.

     Sobre pessoas, temos os clientes, os colaboradores e os fornecedores, que podem tratar e/ou consumir informações que permitem a identificação da pessoa natural, o fato é que estas pessoas devem ter ciência da existência da Lei, ter seus termos de consentimento de uso dos seus dados pessoais sempre válidos e ter seus direitos sobre seus próprios dados pessoais preservados, através da possibilidade de deletar, portar, editar, deixar anônimo e etc., tendo em vista que estes dados pessoais são cedidos para uma relação específica e declarada formalmente. Pois bem, como exemplo prático, todos são pessoas com dados pessoais sendo acessados em ambos os sentidos, em alguns momentos você consome dados pessoais e em outros momentos consomem seus dados pessoais.

Os 3 (três) pilares da LGPD são: pessoas, processos e tecnologia.

O exemplo aqui será: se você demite um colaborador, você deve garantir que ele não terá mais acesso e não fará mais uso dos dados de pessoas com as quais teve contato quando em sua função, ao mesmo tempo garantir a anonimização dos dados deste colaborador desligado. Não basta apenas retirar os acessos do usuário dos sistemas da empresa, ou simplesmente alegar que mantém as informações por conta da obrigatoriedade do INSS. Para casos como o INSS, existe apenas uma quantidade de informação específica que pode e deve ficar armazenada pelo tempo que a Lei determina.

Outro ponto importante é que ao longo da relação que o colaborador tem com a empresa, ele trocará e-mails, documentos, dados e informações, desta forma, por todo o ciclo de vida do dado pessoal, deve ser garantida a privacidade por padrão. Aqui reside um fator cultural, será muito mais difícil atingir a conformidade com a #LGPD, se na sua empresa não há absolutamente nenhuma consciência de privacidade, neste caso o melhor caminho são Workshops iniciais de evangelização sobre privacidade, para nivelar o conhecimento e o entendimento da necessidade da privacidade. Se uma pessoa pedir seu CPF e seu cartão de crédito, seria interessante perguntar: Qual o motivo ? Qual a finalidade ?

Será assim para todos os envolvidos e seus dados pessoais, em momentos você opera o dado pessoal de alguém e em momentos você é titular dos dados pessoais, desta forma todas as relações com dados pessoais devem assumir a privacidade por padrão, seja com seu fornecedor, funcionário ou cliente.

Sobre processos, muitos tem dito que se a empresa não tiver ISO não estará em conformidade com a #LGPD, vamos explorar isso. A profundidade e capilaridade dos instrumentos de controle da conformidade exigida, está diretamente ligada a natureza da operação do negócio. Se você é uma empresa que usa dados para decisões estratégicas, com ferramentas de BI, Data Analytics, Big Data e etc., sendo estes dados pessoais e principalmente, dados pessoais sensíveis para tomada de decisão, seus instrumentos de controle devem estar adequados a isso. Se você tem um Datacenter de nível internacional e presta serviço para várias empresas, a ISO deve ser seu padrão e sua empresa estará à frente de seus concorrentes menores e regionais que ainda não possuem controles e conformidade ISO.

Processos como Gestão de Identidade, Gestão de Acessos, Gestão de Ativos, Gestão de Vulnerabilidades entre outros, envolvem TI, RH e Segurança da Informação. Todos necessitam políticas claras e objetivas a serem seguidas, calibradas com a necessidade do negócio e visando a conformidade. Se a sua empresa não possui políticas implementadas e divulgadas a todos os envolvidos, faltará o guia que norteia todos os processos executados pelas pessoas, assim não haverá clareza no objetivo comum, a privacidade. Esta clareza deve estar presente em todos os envolvidos. Sendo assim, estes processos e políticas devem contar com instrumentos de controle baseados em ISO sim, mas não necessariamente você necessite todos os controles da ISO para garantir a rastreabilidade de acesso, classificação de dados e informação, política DLP, Política de retenção de dados e etc.

A busca pela conformidade com a LGPD deve observar os processos de negócio e identificar os requisitos a serem preenchidos, estes requisitos são geralmente conhecidos como “Relatório de não Conformidade”, ou seja, uma lista enorme que geralmente os consultores que executam atividade de descoberta de dados e vulnerabilidades apresentam. Se sua empresa possui um Departamento de Segurança da Informação, estas atividades são rotina e você está à frente dos seus concorrentes, caso contrário não se engane contratando um Gerente de Segurança da Informação, um Analista de SI Sênior ou até mesmo um Hacker como mais uma solução mágica, neste caso “uma andorinha só não faz verão”, você precisará começar do começo.

Um bom começo em processos é pelo que existe há mais de 20 anos e nunca esteve tão clara a sua necessidade, controles e processos bem implantados de ITSM (ITIL®) e Cobit® podem resolver boa parte da lista de requisitos para conformidade com a LGPD. No caso do Cobit®2019 os processos APO12, APO13 e DSS05 cobrem os requisitos de Segurança da Informação de forma abrangente e elevam o Security by Design das aplicações, ao nível da arquitetura corporativa de conformidade e controle.

Enfim, a tecnologia (ferramentas). Nelas embarcamos as políticas e executamos os processos ou partes deles. Na escolha das ferramentas de apoio, assim que devem ser chamadas, a área técnica terá suas predileções, a área de negócios terá foco no custo e máxima eficiência e caso exista uma área de conformidade, a empresa terá a balança necessária para identificar quais ferramentas são adequadas diante do contexto e cenário apresentado. Mas não se iluda, aqui também não existe ferramenta mágica, complementarmente sugiro a leitura do artigo do SERPRO e também o Guia LGPD do Governo Federal.

Nas ferramentas, devemos começar pelo engajamento das pessoas, precisamos elevar o entendimento da importância da conformidade a todos, nada melhor que exercitar em um ambiente de “testes”. Achei muito interessante a solução da Hacker Rangers, gamification de SI com funcionalidades bem interessantes.

Na abordagem das ferramentas fico mais à vontade em comentar, pois como não estou analisando a conformidade da sua empresa, posso citar sem o receio da aderência ou não a um ou outro caso específico, porém em todos os casos elas atendem de alguma forma, ou protagonizando ou complementando o dia a dia da gestão da conformidade com a LGPD. Para empresas que possuem o Office365 ou Microsoft365, existem um painel de conformidade a GDPR que faz boa parte do trabalho desde que todo seu conteúdo esteja na suíte, uma vez configuradas as políticas, etiquetas de dados e etc.

Nesta ferramenta, toda vez que um dado sensível (definido em sua política) é enviado por e-mail, o administrador é notificado e um registro mantido. Possibilita também, fazer a abertura de casos de não conformidade, ferramenta de trabalho do DPO, entre uma série de outros recursos e relatórios.

Microsoft Security & Compliance
Miocro

Figura 1 – PopUp para justificar envio de dado sensível por e-mail do Office365.

A gestão dos seus termos de consentimento do uso de dados pessoais também é premissa, ter um ambiente de gestão desses termos de consentimento provenientes dos sites da empresa, e-commerce, RH, ERP, CRM e etc. pode ser trabalhoso, neste sentido centralizar esta gestão é o ideal, para isso deve considerar a aderência ao seu ambiente de TI e quem irá executar esta atividade. Alguns fornecedores de soluções já disponibilizaram a gestão de termos de consentimento, uma ferramente interessante de ser analisada é da PrivacyTools. Leia também este artigo da CIO, algumas das ferramentas de análise inicial e de data discovery você pode consultar neste artigo.

No que se refere a rastreabilidade de acessos a dados, devemos iniciar com a gestão de identidades, a ferramenta dominante de mercado é o Active Directory, funcionalidade disponível em sistemas operacionais de servidores na plataforma Microsoft, aqui podemos habilitar logs de auditoria de acessos. Paralelamente a isso, a rastreablidade deve permear todo o ambiente de TI onde dados são acessados, como ERP, Bancos de Dados, CRM entre outros.

A centralização destes logs e seu arquivamento são tão importantes quando a geração dos mesmos. Em 2017 tive a oportunidade de estar presente no Microsoft Ignite Tour SP, conversando com o SI da Microsoft baseado na Suíça, abordei a possibilidade de implantar um SIEM (Security Information and Event Management) em Power BI, coletando logs de diversas fontes de dados no ambiente de TI, o dashboard ficou com um visual muito claro dos eventos coletados em tempo real.

Dependendo do tamanho da sua organização, ferramentas de SIEM com mais recursos devem ser analisas, a McAfee tem produto para esta finalidade. Lembre-se, a conformidade com a LGPD deve ser proativa e preventiva, deve partir da sua empresa o comunicado de qualquer incidente de segurança de dados, informando todas as ações tomadas e demonstrar claramente as ações com foco na privacidade dos dados pessoais.

Chegamos ao fim deste artigo, poderíamos conversar muito mais a respeito, então fique à vontade para entrar em contato, estou à disposição para te ajudar neste desafio.

error: Conteúdo Protegido !!