<p>Assim, as empresas brasileiras estão moldando suas estratégias de proteção de dados e segurança da informação para se adequar à nova lei.</p>
<p>A abordagem preventiva das atividades de processamento de dados é uma dessas requisições, baseada na avaliação de risco e adoção das melhores práticas de segurança da informação, como o monitoramento de incidentes de segurança e de vazamento de dados pessoais.</p>
<p>Embora a maioria das empresas colete e utilize dados pessoais, normalmente a segurança da informação não é, necessariamente, seu principal know how, necessário para entender e implementar as exigências legais na proteção desses dados.</p>
<p>A LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados, visando às melhores práticas de segurança da informação.</p>
<p>Por isso, elencamos sete práticas que facilitarão a jornada rumo à conformidade com a LGPD.</p>
<p><strong>1 – Nomear um responsável pela proteção de dados</strong><br /><br />As organizações que tratam dados pessoais devem nomear um encarregado independente (DPO), responsável pelo tratamento, organização e que reporte diretamente a alta direção do status de segurança dos dados pessoais presentes nos bancos de dados da empresa.</p>
<p>Pela nova lei, o tratamento dessas informações tem o seguinte escopo: toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, qualquer informação, mesmo que parcialmente, que possa identificar uma pessoa.</p>
<p>Um dos processos é educar a organização e seus funcionários sobre conformidade, treinar a equipe envolvida no tratamento de dados para manter registros de todas as atividades de tratamento de dados, e realizar auditorias de segurança regulares.</p>
<p>O DPO também atua como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).</p>
<p><strong>2 – Mapeie e classifique todos os dados</strong><br /><br />Para garantir a confidencialidade, integridade e disponibilidade dos dados, uma organização precisa saber quais dados ela possui.</p>
<p>Conduza um inventário de dados para que as partes interessadas entendam a qualidade e o valor dos dados pelos quais são responsáveis.</p>
<p>É mais fácil garantir que os controles de segurança e privacidade sejam adequados e justificados quando os dados estão classificados e sinalizados como informações de identificação pessoal.</p>
<p><strong>3 – Preencha uma avaliação de impacto na privacidade</strong><br /><br />Antes que o tratamento de dados comece, realize uma avaliação de impacto de privacidade.</p>
<p>O relatório de impacto deve identificar riscos da coleta, uso, transferência e tratamento de dados pessoais. Esse é um ponto importante para o pressuposto legal de Privacy By Design e By Default.</p>
<p>O roadmap de como os dados fluem pela empresa é fundamental, incluindo onde e como são coletados; como e onde são usados; por quem, como, onde e por quanto tempo são armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.</p>
<p>O relatório de impacto também exige uma avaliação das atividades para determinar o nível de risco a liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.</p>
<p><strong>4 – Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade</strong><br /><br />Os inventários de dados pessoais e o mapeamento do fluxo de dados precisam ser constantemente atualizados para que o DPO saiba quais dados estão sendo tratados, protegidos e qual a base legal do tratamento.</p>
<p>As políticas para proteção de informação pessoal devem abranger as pessoas, processos e sistemas envolvidos nas atividades e onde circulam os dados pessoais, garantindo que estes sejam tratados de acordo com as bases legais e estejam sempre protegidos.</p>
<p><strong>5 – Treinar funcionários na LGPD</strong></p>
<p>Os funcionários também devem entender quais são suas responsabilidades para proteger os dados pessoais. A integração e o treinamento da equipe devem estar contidos na política de privacidade da organização, que deve ser implementada.</p>
<p>Qualquer pessoa que manuseie dados pessoais precisa estar ciente da importância de manter os dados seguros e conhecer todos os procedimentos e processos relevantes.</p>
<p><strong>6 – Teste os procedimentos de resposta à violação de dados pessoais</strong><br /><br />A LGPD exige que a organização deverá comunicar à autoridade nacional e ao titular a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.</p>
<p>Essa comunicação deve ser feita em prazo razoável, a ser definido pela autoridade nacional. Entendemos que, até a regulamentação formal, a melhor prática é adotar o prazo da Lei Europeia (GDPR): 72 horas do incidente.</p>
<p>Sendo assim, convém testar regularmente os procedimentos de gestão de incidentes e as respostas às solicitações do titular dos dados para garantir que os funcionários cumpram esses prazos.</p>
<p>Eles devem saber como identificar e relatar uma violação de dados internamente, e os passos seguintes para comunicar os titulares e a ANPD.</p>
<p><strong>7 – Monitore o vazamento de dados pessoais e incidentes de segurança da informação</strong><br /><br />A LGPD determina que as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Isso inclui as boas práticas de segurança da informação.</p>
<p>É preciso adotar procedimentos no caso de vazamento ou incidentes de dados pessoais, não estando a organização à mercê do acaso. É necessário e fundamental que monitore a ocorrência de incidentes ou de vazamento de dados pessoais.</p>
<p>O BTTng é uma ferramenta da Apura, que, entre suas funcionalidades, monitora a ocorrência de vazamento de dados pessoais e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.</p>
<p>Em se tratando de proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos. O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização.</p>
<p>Isso permite que a empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de segurança da informação, proteger os direitos dos titulares de dados pessoais e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as penalidades.</p>
<p>Essas recomendações compõem a base de um projeto sólido com base legal para a proteção do tratamento e trânsito de dados pessoais.</p>
<p>No entanto, não são tarefas triviais que devem ser realizadas apenas casualmente. A implementação dos controles básicos necessários para atender aos requisitos da LGPD não resultará, necessariamente, em estratégia de manipulação de dados adequada e resiliente.</p>
<p>Investir na adequação à LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder público, de que a empresa leva a sério sua privacidade e segurança de dados. Isso aumenta a reputação e fortalece os negócios.<br /><br /><em>(*) Especialista em Direito Digital e Compliance da Apura.</em></p>
