A sua infraestrutura de TI está pronta para atender aos requisitos da Lei Geral de Proteção de Dados (LGPD)?
Por Rubens Daniel*
CIO, como você está planejando adaptar o ambiente tecnológico da sua empresa para aliar produtividade e segurança?
Para se adequarem à nova lei, será preciso que as empresas invistam em nova soluções como sistemas de avaliação de riscos de terceiros, gestão de dados, mascaramento de dados, portais seguros de transferência de dados, bancos de dados seguros e de alta volumetria, gestão de identidade de consumidores e clientes.
Além disso, precisam adotar práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão (Security by Design) como, por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.
É recomendável que as empresas sigam quatro etapas fundamentais de segurança:
A primeira é identificar e realizar o inventário de dados pessoais, incluindo sua classificação, quem controla, quem a processa e como são transferidas;
Gerenciar e avaliar o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
Proteger, definir e implantar soluções, políticas e governança de dados em toda a organização;
E monitorar, controlar e auditar continuamente o nível de proteção, assim como avaliar constantemente possíveis vazamentos internamente e externamente.
Privacidade desde o início do projeto
Os CIOs devem agora planejar um ambiente tecnológico que garanta a segurança dos dados e que ao mesmo tempo incorpore ferramentas que ampliem a flexibilidade, a mobilidade, a colaboração e a produtividade.
A entrada em vigor da GDPR – lei de proteção de dados implantada pela União Europeia em 2018 – serviu como base para o desenvolvimento de mais um conceito: Privacy by Design, que consiste na ideia de que a privacidade deve estar presente desde o início do planejamento de todos os ambientes tecnológicos e processos de engenharia de aplicativos e páginas na internet, entre outros.
Aliás, desenvolvedores de sites de hotéis deveriam estudar mais esse conceito. Testes realizados pela Symantec – parceira da Softline – em sites de 1.500 hotéis, em 54 países, constataram que 67% deles vazam dados de reserva de hóspedes inadvertidamente para sites de terceiros e permitem acesso a dados pessoais, contrariando normas da GDPR e da LGPD.
Mas, voltando ao conceito de Privacy by Design, que prega a ideia de que a proteção de dados é melhor aceita quando já está integrada ao ambiente de tecnologia, são sete os seus princípios básicos:
Proativo e não reativo (prevenir e não corrigir) – Prever e antecipar eventos que possam comprometer a privacidade antes que eles ocorram.
Privacidade como configuração padrão – Por padrão, as configurações referentes à privacidade devem estar definidas considerando a máxima proteção possível da privacidade do usuário.
Privacidade incorporada ao projeto – A proteção dos dados pessoais deve ser pensada como parte indissociável do planejamento do ambiente tecnológico ou da prática de negócio, ou seja, desde a concepção.
Funcionalidade total – Soma positiva e não soma zero – Esse princípio visa assegurar que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados. O princípio em questão estabelece uma relação de ganha-ganha entre o titular e os agentes de tratamento de dados.
Segurança de ponta a ponta – A segurança das informações pessoais deve ser garantida durante todo o seu ciclo de vida, desde a sua coleta até a sua destruição ou compartilhamento com um terceiro.
Visibilidade e transparência – Abrange diversos aspectos, como informar ao titular do dado quando e para qual finalidade as suas informações estão sendo coletadas até a abertura da plataforma para realização de auditorias assegurando que as informações pessoais estão de fato protegidas
Respeito pela privacidade do usuário (solução centrada no usuário) – Toda a arquitetura e operacionalidade do sistema ou da prática de negócio devem ser centradas na privacidade do usuário, oferecendo medidas robustas de proteção de dados, notificando-o de forma clara e oportuna e tornando as configurações referentes à privacidade amigáveis.
No caso da LGPD, o ideal é construir serviços e soluções já fundamentados na segurança. Inclusive já existem aplicações que estão em conformidade com a nova lei, como o Microsoft 365, por exemplo, que unifica a segurança da companhia e produtividade do usuário.
A ferramenta permite que todos os processos de determinado documento sejam acessados e monitorados de qualquer lugar e dispositivo.
Os desafios de adequar o planejamento de ambientes tecnológicos aos requisitos da LGPD são grandes, com certeza. Mas estar dentro das normas, com regras claras sobre como a sua empresa está realizando a coleta, armazenamento, tratamento e compartilhamento de dados pessoais é uma oportunidade para ganhar competitividade, atraindo e ganhando a confiança dos clientes.
*Rubens Daniel é Business Development Manager da Softline Brasil