Ou apenas pintar as rachaduras?
Inspirada na europeia GDPR (General Data Protection Regulation), a LGPD (Lei Geral de Proteção de Dados) foi criada com a finalidade de proteger os dados pessoais de pessoas que residam no Brasil. A semelhança entre as duas regulações padroniza, de certa forma, o nível de governança e segurança da informação e facilita o estabelecimento de acordos entre países – ajudando também na atuação de empresas europeias ou multinacionais no país, além de estimular a entrada de companhias e de novos negócios no território nacional.
A LGPD entra em vigor em agosto de 2020, e deve ser encarada como o início de uma nova era de proteção de dados, e não apenas como um prazo exato a ser cumprido – uma vez que dificilmente os negócios estarão 100% preparados ou compatíveis com todos os requisitos da lei. Por isso, as organizações devem aprender, adaptar e adotar as melhores práticas, à medida que continuam se aprimorando em suas obrigações de proteção das informações de seus clientes e funcionários.
Assim como com a GDPR na Europa, a nova lei no Brasil exige que se uma organização sofrer uma violação, ela terá que revelar o fato publicamente, o que consequentemente impacta negativamente a confiança do cliente. Nesse sentido, a regulação eleva sensivelmente o nível de transparência das comunicações organizacionais – que deixa de estar apenas numa esfera ética e passa a assumir caráter jurídico. Nesse sentido, para conseguir ser transparente e implementar uma forte governança de dados, as empresas precisarão ter visibilidade de quais dados pessoais possui e como eles estão sendo utilizados – isso para identificar o uso indevido ou processos falhos de negócios.
Se dados pessoais forem roubados ou usados incorretamente, a organização deve comunicar o incidente à autoridade supervisora relevante em até 72 horas. Dependendo da categoria e da sensibilidade dos dados, uma organização pode precisar se reportar às autoridades nacionais de supervisão, e isso é ainda mais complicado se a violação afetar seus negócios em vários países. Há muita coisa em jogo, desde reputação à questão financeira, e por isso a notificação de violação e o gerenciamento correto das respostas são fatores imperativos.
É altamente provável que o erro humano e o mau uso dos dados surjam como as principais causas de violações de dados, o que significa que a educação deve ser contínua, particularmente quando se trata de segurança na nuvem.
É válido questionar: será difícil para as empresas se adequarem? No caso da GDPR, que já está no caminho para o segundo ano de aplicação prática, as empresas ainda estão no processo de compliance – e a previsão é que as empresas brasileiras levem em média dois anos para se adequarem completamente. A questão está muito relacionada à maturidade tecnológica e de gestão de cada organização em relação aos investimentos em segurança da informação.
E outros questionamentos vêm à tona. Para as pequenas e médias empresas será diferente? Elas têm menos chance de se adequar a tempo? As PMEs têm menor grau de maturidade? A possível consequência monetária do descumprimento estará sujeita a multas de até R$5 milhões, ou até 2% da receita.
Para dar algumas dicas às empresas brasileiras, listo aqui alguns pontos a serem considerados. Se a empresa manipula dados pessoais, é necessário saber onde esses dados estão armazenados; compreender por que a empresa possui esses dados; e como obter os controles apropriados de segurança para protegê-los. Muitas empresas não estenderam completamente suas políticas e processos de proteção de dados com o uso da nuvem ou ambientes tecnologicamente híbridos – com armazenamento na nuvem e on-premise. Muitas vezes não sabem como os dados estão sendo manipulados e, principalmente, como estão sendo protegidos em cada ambiente. Se uma empresa está armazenando dados fora do país, por exemplo, é preciso garantir a segurança de todo o processo, incluindo a governança e compliance com LGPD de fornecedores e parceiros de negócios envolvidos.
Manter um registro preciso do processamento é um requisito essencial da regra do GDPR, e será também para a LGPD – e exige que todas as atividades de processamento de dados pessoais sejam registradas, gerenciadas e atualizadas em um nível granular, uma tarefa de importância significativa que exigirá automação para ser viável para muitas organizações.
Uma dica simples e eficaz é gerenciar serviços de dados desnecessários, a fim de reduzir o escopo e aumentar a segurança. Uma empresa utiliza em média 1200 aplicações na nuvem, e precisam revisar todas elas neste ambiente, se dados pessoais estiverem sendo processados dentro da aplicação, para garantir que estejam de acordo com LGDP. Ao gerenciar o número de serviços é possível manter somente determinados dados, por razões específicas, e facilitar os controles apropriados de monitoramento. Essa é uma forma de otimizar o ambiente e tornar os processos mais eficientes e menos custosos.
A adequação à LGPD é apenas uma batalha, já que a guerra para garantir a proteção dos dados e manter o compliance é interminável. A orientação fornecida com esse regulamento também evoluirá com o tempo, e as empresas precisam estar preparadas para acompanhar outras mudanças nos padrões de segurança dos dados pessoais.
Por isso, é preciso enxergar valor no processo educacional que virá com essas mudanças, ao invés de enxergar a LGPD como um mal necessário. Há um enorme ganho de aprendizado com a regulação. As empresas mais preparadas terão a oportunidade de fazer mais do que apenas aprimorar a proteção, elas serão capazes de aplicar uma abordagem mais ética, que impacta diretamente no aumento da confiança dos clientes na marca.
*Por Neil Thacker, CISO EMEA da Netskope
