Há uma necessidade de criar um mindset consciente sobre o tema, com foco na estratégia de gestão, classificação de dados sensíveis, armazenamento e proteção
Armazenar dados traz grandes responsabilidades. A Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe o assunto à tona, acelerando a adoção de novos padrões de governança, segurança e compliance. Embora esses temas sejam de extrema importância, na maioria dos casos no Brasil, as ações das organizações estão focadas apenas em atender o que pede a lei.
Essa contradição é apontada pela edição de 2019 do Brazil IT Snapshot, pesquisa realizada pela Logicalis. O texto mostra que 39% dos entrevistados, entre gerentes de TI e CIOs, tem como prioridade o investimento em Big Data e Analytics. Em contrapartida, o mesmo relatório aponta que, apenas 24% das organizações brasileiras possuem um orçamento dedicado para iniciativas relacionadas à privacidade e proteção de dados.
É preciso revisar a forma de pensar sobre dados, pois eles são essenciais para o futuro do negócio. Essa revisão deve considerar a estratégia, governança, classificação de dados, armazenamento e proteção.
Inventário e Mapeamento de Dados Pessoais
Um dos primeiros passos no processo é saber quais são os dados pessoais que existem no seu negócio. Esse levantamento é feito por meio de uma análise interna dos times de cada área e é muito facilitado se a organização possui uma visão clara dos processos internos em execução.
Para facilitar o trabalho, há no mercado soluções para Data Discovery e Data Mapping que se conectam com vários pontos da infraestrutura, sejam bases de dados ou servidores de arquivo locais e na nuvem. Essas soluções conseguem identificar os dados pessoais e organizá-los de acordo com o processo de negócio que suportam e classificá-los de acordo com seu nível de exposição. Dessa forma, esses softwares podem apontar se numa tabela de banco de dados há, por exemplo, números de cartões de créditos ou dados de identificação pessoal como o RG e CPF e em quais locais da infraestrutura esse dado está sendo reproduzido.
Segurança é apenas parte da solução
A segurança da informação resolve um pedaço do problema, relacionada à divulgação, disponibilidade e integridade dos dados. A questão da privacidade, no entanto, exige outros mecanismos e práticas, além de mudanças culturais.
Significa, que as pessoas precisam se sentir confortáveis que a sua empresa não vai usar os dados de maneiras que eles não estão sabendo. A sua organização tem a posse dos dados, mas eles pertencem às pessoas. E num mundo em que há uma coleta e processamento de dados de maneira massiva, essas pessoas querem o direito de ter um maior controle sobre seus dados.
Um exemplo que ilustra é o do cientista de dados que faz o download de informações para uma análise. Se ele baixa no seu computador e essa máquina for roubada, temos um problema de vazamento. Será que as empresas estão pensando e controlando estes possíveis eventos?
Efeito dominó
Um bom trabalho de adequação à LGPD deve ser abrangente – além de identificar vulnerabilidades nas camadas de segurança de infraestrutura e de sistemas de TI, é crucial que sejam mapeados os processos de negócio e como os colaboradores trabalham com dados pessoais. Com essas atividades a empresa deve conseguir mapear riscos de desrespeito à LGPD e de violação aos direitos relacionados à dados pessoais.
É preciso entender quem acessa, compartilha, transmite e correlaciona dados, verificando se essa manipulação está seguindo os princípios da LGPD1. Por exemplo, se um departamento faz a coleta de dados pessoais e não sabe para que o faz ou o que será feito com esses dados, temos um ponto de atenção.
Um ponto positivo da legislação é que ela prevê a fiscalização por meio da ANPD e a responsabilidade compartilhada entre controladores e operadores (fornecedores, parceiros e outros). Isso cria um efeito dominó no qual toda empresa precisa verificar outras empresas com quem se relaciona no que diz respeito a dados pessoais. Esse efeito é semelhante ao que foi observado quando começaram a ser implementados padrões de segurança como a ISO/IEC 27001 e outros. Com a LGPD se passa o mesmo: se você deixar mais para a frente, o efeito dominó chega até a sua organização.
A criação de uma arquitetura e processos para gestão de dados que já inclua as necessidades derivadas da adequação à LGPD é fundamental. É preciso pensar sobre a atribuição de responsabilidades, critérios para tomadas de decisão, novos processos relacionados à proteção de dados. Tudo isso sem deixar de lado aspectos de segurança dos dados. As empresas que tiverem essa consciência estarão mais preparadas para as novas demandas relacionadas à proteção de dados e a novas situações que o futuro pode trazer.
Links: Lei Geral de Proteção de Dados Pessoais (LGPD) - Site do Planalto
Comentários
Deixe seu comentário ou dúvida abaixo, lembrando que os comentários são de responsabilidade do autor e não expressam a opinião desta editoria. A Logicalis, editora do blog Digitizeme, reserva-se o direito de excluir mensagens que sejam consideradas ofensivas ou desrespeitem a legislação civil brasileira.