A LGPD exige conformidade e irá impactar instituições governamentais, multinacionais e empresas brasileiras de todos os portes
O Brasil deu um passo importante em direção a proteção de dados. No dia 10 de julho passado, o Senado aprovou, por unanimidade, a lei geral de proteção de dados pessoais, a LGPD, incluindo o País no hall das nações com legislação sobre o tema. O texto garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. O texto já aprovado na Câmara dos Deputados, segue para a sanção presidencial.
Distribuído em 10 capítulos e 65 artigos, o Projeto de Lei foi inspirado em linhas específicas da regulação europeia (GDPR), que entrou em vigor em 25 de maio passado, que proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva. Um exemplo seria o cruzamento de informações de uma pessoa específica para subsidiar decisões comerciais, como ofertas de bens ou serviços.
A lei também será aplicável a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada no território nacional.
Segundo Matheus Baeta, diretor da OTRS Brasil, fornecedora líder de soluções para gerenciamento de processos e comunicação, o marco legal será o ponto de partida para a implementação de uma estratégia social que coloque o indivíduo no controle efetivo dos seus dados pessoais. “Sem a LGPD, o Brasil perderia oportunidades de investimentos financeiros internacionais em razão do isolamento jurídico”, esclarece o executivo.
A nova lei brasileira, que entrará em vigor após 18 meses de sua publicação no Diário Oficial da União, prevê advertências e multas de, até, R$ 50 milhões por infração, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
“Regras claras quanto ao uso de dados protege cidadãos e diminuem a vulnerabilidade das empresas. Com um embasamento legal, o desenvolvimento de novos modelos de negócios será mais seguro”, destaca Baeta.
Mas a maioria das empresas brasileiras não está preparada para tais níveis de conformidade. “Será preciso que nesses próximos meses, as corporações busquem tecnologia e know-how de processos que estejam de acordo com a nova lei, de forma a evitarem transtornos operacionais e econômicos. Será essencial que as empresas registrem incidentes de segurança de TI e as documentem legalmente”, explica Baeta.
Preparando sua empresa para a LGPD
A OTRS, como especialista em ambientes de segurança, fornece as seguintes recomendações para ajudar as empresas com a segurança da informação:
Elabore uma estratégia - Pequenas, médias e grandes empresas, além das instituições governamentais, precisam elaborar suas estratégias. É útil criar Relatórios para Incidentes de Segurança e dedicar uma pessoa responsável por eventos relacionados à segurança. Isso pode criar uma documentação centralizada que mantém todos conscientes do que está acontecendo.
Busque especialistas experientes - Além do nova lei de proteção de dados pessoais, outras regulamentações legais para proteção de dados e processos de segurança de TI aplicam-se a setores críticos, como provedores de serviços financeiros e seguradoras. As empresas nem sempre têm tempo para verificar todos os regulamentos para determinar se são relevantes para seus negócios. Portanto, não hesite em consultar especialistas experientes externos com perguntas sobre as novas diretrizes e conformidades.
Defina processos de segurança claros - É importante que todas as empresas estabeleçam processos e responsabilidades claras para lidar com eventos relacionados à segurança. As seguintes questões devem estar entre as consideradas:
1. Como você define um incidente de segurança?
2. Quando exatamente um incidente precisa ser relatado?
3. Quais dados ou processos devem ser protegidos?
4. Qual é o impacto potencial do incidente?
5. Quem deve ou pode ser informado de um incidente?
6. Em que ordem e em que período deve ocorrer a comunicação?
Centralize os processos digitais - Para documentar os eventos de segurança e as medidas correspondentes tomadas para mitigar a situação de maneira segura, sistemas como o STORM da OTRS estão disponíveis. Eles atuam como o backbone técnico dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação no caso de auditorias posteriores. Eles tornam possível definir processos específicos para cenários de ameaças, conceder acesso baseado em função aos usuários e permitir a comunicação criptografada entre usuários claramente autenticados, de modo que os ataques sejam tratados rapidamente e a documentação apropriada seja capturada.
Segurança é um processo contínuo - Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades comerciais. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar de novo e de novo. É por isso que as empresas devem se manter atualizadas. Para desenvolver know-how de segurança e desenvolver uma equipe de segurança de TI, o profissional deve se conectar com outros agentes de segurança e ficar por dentro das mudanças no setor.
Grupo OTRS