Com a aprovação da nova Lei de Proteção a Dados Pessoais inaugura-se no Brasil uma nova fase na luta pela proteção e privacidade das informações dos cidadãos na Internet e fora dela.
Jaime Muñoz (*)
A nova regra coloca o país ao lado de Chile, Colômbia e México em nosso continente na defesa das informações pessoais e movimenta as empresas de todos os segmentos – indústria, serviços, comercio, bancos e instituições financeiras, governos – a atualizarem seus processos de negócios e mecanismos internos para atender à nova realidade.
A aprovação na nova lei pelo Senado brasileiro acontece logo após a Comunidade Europeia colocar em vigor a Regulamentação Geral de Proteção de Dados (GDPR), que obriga toda e qualquer companhia baseada naquele continente e com presença em qualquer lugar do mundo a garantir a proteção e confidencialidade dos dados de seus clientes e impulsionou diversos países, entre eles o Brasil, a acompanhar o que determina a GDPR para não deixar brechas jurídicas que pudessem colocar seus mercados em risco ou desalinhados com o novo cenário.
A nova lei brasileira determina que as empresas, antes de coletar um dado – pode ser via cadastros, textos ou fotos – devem especificar de maneira clara e objetiva o uso que ela pretende dar à informação e solicitar autorização ao cliente para isso.
A classificação de dados entra neste contexto para delimitar a maneira correta como as empresas podem processar, controlar, hospedar ou compartilhar uma informação em todo o ciclo de vida do cidadão como seu cliente, seja a empresa pública ou privada ou usuário sendo beneficiário de um serviço pago, gratuito ou público. Desta maneira, é necessário informar ao cidadão que informação poderá ser usada ou guardada, como e até quando isso será feito.
As empresas também deverão ter políticas muito claras de acesso às informações e delimitar os privilégios dos usuários de seus sistemas computacionais e de dados, definindo o que as pessoas poderão ver dentro e fora do ambiente corporativo.
A classificação de dados (Data Classification) entra aqui como a ferramenta apropriada porque ela envolve a combinação entre processos, políticas e tecnologias de segurança que provê a informação contextual para políticas de segurança.
A aplicação da nova lei e o uso da tecnologia também deve incluir as pessoas. As equipes devem estar capacitadas para ser conscientizadas e ter os mecanismos de apoio para entender todo o teor e significado da nova lei e como ela, juntamente com os novos processos de classificação de dados, irá dar mais valor ao negócio.
Assim como o Marco Civil da Internet e a própria GDPR, a nova lei brasileira impulsiona as empresas fortalecerem seus mecanismos internos para garantir o respeito aos marcos regulatórios, que não são poucos, mas que impactam os negócios das companhias. Entre eles a SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA) e outras mais.
Desta forma, a Lei de Proteção a Dados Pessoais brasileira oferece um novo desafio para os responsáveis pela Segurança da Informação das companhias, que precisam estabelecer as condições apropriadas para que se garanta a conformidade de suas empresas. A classificação dos dados fortalece sua importância neste novo cenário permitirá que a estratégia de proteção de dados seja apoiada por soluções tecnológicas eficazes na execução das os níveis de segurança que os dados eles exigem.
(*) Diretor para América Latina da Boldon James.