A LGPD define que empresas e órgãos públicos que não se adaptarem à norma poderão ser punidos com penalidades
Por Brunno Vilas Boa Costa
Nos últimos anos, tem se intensificado a discussão sobre a proteção dos dados pessoais e da privacidade na era digital. Essa questão se tornou essencial após a Lei Geral de Proteção de Dados (LGPD – nº 13.709), aprovada em agosto de 2018, cuja maior parte dos artigos entrou em vigor a partir de agosto de 2020. Entretanto, em função da pandemia, os legisladores definiram que as sanções começariam a valer a partir de 1º de setembro de 2021. A LGPD define que empresas e órgãos públicos que não se adaptarem à norma poderão ser punidos com penalidades que vão desde uma advertência a multas que podem chegar ao valor de R$ 50 milhões.
Especificamente no que se refere aos painéis estratégicos nos órgãos públicos, a minha participação no desenvolvimento de vários projetos (painel de preços, painel de compras, painel de viagens etc.), me impulsiona a fazer um alerta sobre a necessidade de se estabelecer novas práticas de governança dos dados, que vem sendo “atropelada” diante da urgência das demandas e potencialmente podem violar a LGPD e gerar riscos de segurança da informação.
É comum que dados da “base” dos painéis sejam enviados diretamente em planilhas aos operadores dos dados. Existem situações nas quais são fornecidos acessos aos bancos de dados dos sistemas transacionais diretamente a terceiros. São ações que sabotam toda e qualquer tentativa de seguir boas práticas de governança, vão na contramão das diretrizes da LGPD e pode dar credenciais de acesso futuro aos sistemas por parte de hackers. O armazenamento dos acessos aos bancos de dados fica sob a responsabilidade do terceiro e, muitas vezes, eles são armazenados em arquivos-texto em seus computadores, sem nenhuma proteção.
Infelizmente, a frequência com que nos deparamos com notícias de vazamento de dados pessoais de milhões de brasileiros tem aumentado. Esses acontecimentos acendem uma luz de preocupação para com os dados utilizados nos painéis estratégicos, que são dados de altíssima sensibilidade como, por exemplo, de investigações em andamento contra à corrupção.
Por isso, é preciso lançar um alerta aos gestores públicos e demais envolvidos no processo de disponibilização de informações para os painéis estratégicos do governo, principalmente aqueles que envolvem dados sensíveis, para que se atentem aos processos de disponibilização de dados do seu órgão.
Ao mesmo tempo, enfatizo que é possível reduzir o risco de vazamento e prover maior governança sobre os dados, a partir de sistemas e novos procedimentos que atendam as mais variadas arquiteturas de dados existentes, desde aqueles que fazem uso de simples planilhas e querem criar painéis, até aqueles com ambientes em nuvem ou ambientes com muitas máquinas em cluster, envolvendo replicação de dados entre diferentes estágios e origens e destinos.
Uma das medidas é o uso de ferramentas de catalogação de dados a partir da combinação de diversas tecnologias, que vem sendo debatidas em discussões de governança. Esta catalogação tem o objetivo de disponibilizar um único canal de entrada e acesso para os dados da organização.
Sabe aquela história de que para cada demanda de dados do órgão, solicitada pelos usuários, deve ser gerada uma solução pontual para atendê-la (planilha, view no BD, arquivo csv etc.) e compartilhada via e-mail? Com esse canal único de acesso aos dados, esse processo não existirá mais.
O acesso aos dados ainda continuará ocorrendo, porém de modo que seja realizado mediante a utilização de credenciais do usuário (acesso autenticado), que será auditada, sendo possível recuperar as ações realizadas pelo usuário com os dados dentro do catálogo. Ou seja, provendo maior governança e controle.
O catálogo, como “porta” de entrada única para as demandas de dados do órgão, atende as mais diversas necessidades de extrações de dados pontuais (formato de planilha) até a entrega de informações para cientistas de dados fazerem uso em algoritmos.
Pensando em um painel estratégico, é comum ainda nos depararmos com excesso de dados enviados que não são necessários para o objetivo do painel em desenvolvimento. Muitas vezes, o envio de dados como CPF, RG, agência e conta, não seja relevante para o painel.
No cenário com catálogo de dados, é possível trabalhar de algumas formas para extrair apenas as informações necessárias, por exemplo, gerando uma tabela com redução de dados para respectivo usuário dentro do próprio catálogo ou a aplicação de técnicas de mascaramento.
A implementação do catálogo de dados torna o processo de compartilhamento de informações mais seguro e governado, uma vez que os acessos aos dados ocorrem por um único meio, simplificando e acelerando radicalmente o modo como as organizações governamentais gerenciam, preparam e entregam os dados – desde o sistema até a entrega ao usuário.
Outra vantagem é que o processo de construção de painéis estratégicos ganha em agilidade, preserva a confidencialidade das informações, atendendo as mais diversas regras e legislações de proteção de dados, fornecendo auditoria e rastreabilidade.
LGPD exige adequação de todas as empresas
LGPD exige atenção e mudança de cultura do setor de agronegócio no país
LGPD: o que muda para as empresas que utilizam a biometria?