*Por Rogério Soares
Assim como a GDPR – General Data Protection Regulation (ou Regulamento Geral de Proteção de Dados) aplicada em território europeu, a Lei Geral de Proteção de Dados (LGPD), instituída em todo o território nacional, busca abordar a segurança e a proteção de dados pessoais utilizados por empresas ou organizações governamentais. Dada a maturidade dos europeus em lidar com regras de acesso a dados pessoais e à implantação de sua GDPR, foi natural a consulta e o uso como base para criação da nossa legislação sobre o mesmo tema. Apesar de diferenças distintas sobre identificação de dados pessoais, regras de comunicação de perdas de dados, regras de aplicação de multas e outros pontos, ambas exigem das empresas uma nova forma de buscar, reter e utilizar dados pessoais.
Assim como os legisladores brasileiros buscaram entendimento e inspiração na GDPR, é saudável e eficiente que empresas brasileiras busquem nas companhias europeias as melhores práticas para o cumprimento da lei. Isso quer dizer: buscar em todas as partes envolvidas (empresas do mesmo setor, fornecedores, empresas de segurança da informação, etc.) quais foram os processos de transformação que passaram, quais foram os pontos de sucesso e o que aprenderam com erros e até eventuais multas.
O processo de compliance à GDPR, bem como a manutenção do cumprimento das regras é desafiador. Compartilho algumas lições aprendidas com a experiência que tivemos no mercado europeu e que podem ser replicadas pelas empresas brasileiras.
– Comece pelos princípios: ambos regulamentos possuem requisitos que são básicos a qualquer perfil de empresa. Começar por eles permite que as companhias desmistifiquem o que faz e o que não faz parte dessa lei. Ou seja, conhecer quais os fundamentos da lei e onde a empresa deve chegar ao cumpri-la. Ao trabalharmos com nossos clientes europeus, fizemos sessões exclusivas para apresentação e debate dos princípios e esclarecimento de dúvidas.
– Defina a necessidade do Data Protection Officer (DPO): apesar dos claros benefícios, nem todas as empresas têm a necessidade desse profissional. Porém, essa definição deve ser imediata. Tivemos alguns clientes na Europa que, no princípio, nos falavam que ainda estavam definindo sobre ter ou não um DPO. Esta indefinição trazia aos envolvidos um caráter provisório, e definições importantes eram difíceis de serem tomadas por conta disso.
– Faça duas questões importantes: o que eu tenho? Os dados estão seguros? Quando clientes nos convidaram a ajudá-los em sua jornada ao compliance, sempre iniciamos fazendo estas duas perguntas. Ser capaz de respondê-las e nesta ordem é fundamental. A elaboração do plano deve começar pela capacidade de saber onde estão os dados pessoais e identificar se há dados sensíveis. Isto pode mostrar muito sobre como essas informações chegam à empresa, como estão armazenados e quem os acessa. Com isso, a segunda pergunta pode ser respondida. Os dados estão seguros? É fundamental o diagnóstico para poder trabalhar na segurança destes dados.
– Mude a cultura sobre os dados: os dados não precisam ser armazenados todos da mesma forma e estarem sob a mesma política. Classifique e isole dados sensíveis. É necessário que o dado hoje já existente seja distinguido entre o dado comum, dados pessoais e dados sensíveis. Assim, é possível recriar políticas de isolar, classificar e automatizar processos. Decisões de retenção, migração, atualização de bases e regras de acesso e segurança de perímetro devem fazer parte disso. Como é sabido, além dos riscos envolvidos, armazenar dados sensíveis será mais custoso do que é hoje em dia. Portanto, dados podem ser desnecessários. Conhecer empresas de segmento semelhante pode gerar insights sobre os dados necessários ou dispensáveis.
– Aprenda com as falhas: falhas e ataques já ocorreram e contra medidas devem estar estabelecidas. Entender falhas que ocorreram pode permitir que ações sejam definidas. É importante estabelecer planos para proteção de dados, com criptografia e monitoramento de ambiente. Ações conjuntas de segurança são fundamentais para o sucesso.
– Tenha um plano para o pior: um bom plano de contenção deve ter uma rápida detecção de falhas e o mais cedo possível deve emitir um alerta interno que chegue às pessoas corretas. Além disso, um plano de ação após detecção de falhas com tópicos básicos deve ser posto em prática. Dentro do prazo legal, avise a autoridade de proteção de dados notificando o escopo da falha e o plano de medidas a serem tomadas. Em uma frente de ação, execute atividades para recuperar o ambiente e reestabelecer sem falhas. Na outra frente investigue a causa-raiz e impactos. Execute o plano de comunicação durante todo o processo. Com a causa-raiz estabelecida, adote medidas preventivas. Um evento de falha só deve ser considerado como finalizado quando as medidas preventivas para combater a causa-raiz esteja estabelecida.
*Diretor de Pré-Vendas e Serviços Profissionais da Quest Software
