A gestão de conformidade LGPD é um dos maiores desafios nas empresas brasileiras atualmente.
Com a vigência da lei se aproximando, pouquíssimas organizações estão prontas para lidar com as novas regras de coleta, tratamento e proteção dos dados pessoais.
Embora já existam soluções que prometem uma adequação rápida aos requisitos de privacidade, o processo exige uma análise muito mais profunda com relação aos controles existentes para segurança dos dados e uma verdadeira mudança cultural em relação à informação digital e à governança da privacidade.
Por isso, vamos ajudar você a alcançar a conformidade LGPD e criar um programa de segurança da informação à altura das novas exigências.
Leia até o fim e dê os primeiros passos para proteger seus dados.
Nesse artigo falamos sobre:
A gestão de conformidade LGPD está no radar das empresas brasileiras, já que a lei deve entrar em vigor em agosto de 2020.
Nossa Lei Geral de Proteção de Dados Pessoais seguirá os mesmos princípios do Regulamento Geral sobre a Proteção de Dados (GPDR) da União Europeia, priorizando o respeito à privacidade.
Logo, as empresas devem se preparar para aderir às normas e adaptar sua segurança da informação à proteção de dados dos usuários.
Basicamente, a lei regulamenta o uso, transferência e proteção de dados pessoais, estabelecendo regras para o tratamento das informações pelas organizações.
Para os líderes e executivos de TI, a LGPD representa um marco da cibersegurança, que mudará totalmente a forma de coletar, armazenar e gerenciar informações pessoais.
Em caso de vazamentos de dados e desrespeito às normas, a empresa pode ser penalizada com uma advertência, fechamento e multas que vão de 2% do faturamento até R$ 50 milhões, conforme diz a Lei 13.709.
Mas as sanções não devem ser o único motivo para adequação da empresa à LGPD, já que não basta estar em compliance com a lei para garantir uma política eficaz de segurança digital.
Além de utilizar tecnologias e serviços para aplicar as diretrizes de proteção de dados, as empresas precisam, essencialmente, construir uma cultura de segurança sólida e transformar seus processos.
Já vamos entender o que isso significa no contexto do TI.
Apesar de toda a movimentação em torno da gestão de conformidade LGPD no mundo dos negócios, a maioria das empresas está longe de se adequar à nova realidade.
Segundo um relatório da consultoria ICTS Protiviti, divulgado em 2019 na Época Negócios. 84% das empresas brasileiras não estão preparadas para a LGPD.
Já a Gartner prevê que menos de 30% das organizações conseguirão cumprir a lei até agosto de 2020, de acordo com a fala de seu vice-presidente no Gartner IT Symposium/XPo 2019, divulgada na Crypto ID.
A pesquisa da consultoria também revela que as maiores preocupações das empresas são sofrer impacto financeiro por violações de dados (46%), perder clientes (45%) e sofrer danos à reputação (44%).
O grande desafio da LGPD é que não existe uma fórmula única ou um pacote de soluções que garanta a conformidade da empresa, pois toda a organização deve estar comprometida com uma mudança técnica, cultural e estratégica na forma de lidar com dados pessoais.
Na área da segurança da informação, a tarefa de compliance é ainda mais complexa, pois envolve atualizações de infraestrutura, análises profundas das operações, mapeamento de processos e uma nova postura em relação à proteção de dados.
Tudo para garantir que os dados de clientes, colaboradores, parceiros e qualquer indivíduo sejam protegidos de vazamentos, perdas, destruição, exposição e acesso não autorizado nas empresas, além de tratados sob consentimento e manipulados dentro das normas.
Inclusive, essas regras se estendem a terceiros que utilizam os dados da empresa, o que torna a avaliação de segurança de fornecedores ainda mais urgente.
Mas, para cumprir todos esses requisitos, não basta ter as melhores ferramentas de segurança: é preciso ter processos de negócio compatíveis com a lei.
Para a área de tecnologia, isso significa ter uma política de segurança, classificar informações, controlar o acesso, realizar testes de intrusão e vulnerabilidades, ter planos de resposta a incidentes, e várias outras medidas.
Para alcançar a conformidade LGPD, a segurança da informação deve adotar uma nova perspectiva sobre a proteção de dados pessoais.
Veja como estruturar um programa de governança eficiente em alguns passos.
O primeiro passo para alcançar a conformidade LGPD é nomear responsáveis como um diretor de proteção de dados ou DPO.
De acordo com as boas práticas recomendadas pela Gartner, é interessante que o responsável possa atuar além do TI para alinhar as políticas de proteção de dados com outras áreas da empresa e fornecedores.
Além disso, é preciso atribuir as funções de controlador e/ou operador de dados, conforme previsto na lei.
O próximo passo é fazer um mapeamento dos dados pessoais e dados sensíveis utilizados na empresa.
De acordo com a LGPD, são enquadrados como sensíveis os dados relativos às seguintes informações, quando vinculados à pessoa natural:
Nessa etapa, você terá que analisar os processos do negócio para identificar como os dados são coletados, por onde passam, onde são armazenados, por quem são tratados e como podem ser apagados.
Além disso, é importante olhar para todas as áreas da empresa, processos de negócio e terceiros que lidam com dados pessoais no meio digital, para identificar os riscos e demandas atuais.
Lembre-se de revisar o texto da lei para conferir as mais de vinte atividades de tratamento previstas (coleta, controle, eliminação, etc.).
Com os riscos e demandas da empresa em mente, você deverá estruturar um programa de governança e privacidade adaptado à realidade do negócio e seus processos de coleta, armazenamento e uso de dados pessoais.
Um referencial teórico importante para essa tarefa é a ISO 27001:2013, disponível no catálogo da ABNT, que é padrão internacional para sistemas de gestão de segurança da informação e já conta com a extensão mais recente para proteção de dados, a ISO 27701.
Mas é claro que, sozinho, esse framework não garante uma política de segurança digital eficaz, servindo apenas de referência para tratar de aspectos como:
Além disso, a norma inclui diretrizes adicionais para controladores e operadores.
A LGPD não trata apenas da proteção dos dados contra uso indevido e acesso não autorizado, mas também da segurança na coleta, classificação, utilização, transmissão e exclusão das informações, entre outras atividades.
Por isso, é essencial que você implemente métodos e políticas para tratar das exigências da lei, por meio de ações como:
Por fim, a criação de planos de resposta a incidentes e violações de dados é um aspecto fundamental da conformidade LGPD.
Afinal, a empresa deve estar preparada para lidar com eventuais vazamentos, perdas, ciberataques, danos estruturais e outros incidentes, implementando ações preventivas e corretivas.
Para isso, é fundamental avaliar os riscos, ameaças e vulnerabilidades relacionadas aos dados pessoais, além de monitorar continuamente esses aspectos e atualizar as políticas de governança.
Em todas essas etapas, você pode contar com o GAT para realizar a análise e gestão de conformidade LGPD.
Nossa plataforma de gestão integrada de riscos cibernéticos e conformidade inclui o compliance com a LGPD, ISO 27001, PCI-DSS e Bacen 4.658 e 3.909, facilitando a auditoria.
Assim, você pode agilizar o processo de adequação e centralizar todas as tarefas no mesmo sistema — além de sair na frente da concorrência.
Como você deve imaginar, não é fácil controlar todos esses processos e informações com uma planilha de conformidade com a LGPD. Afinal, estamos falando de documentos pontuais e estáticos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre o projeto.
Por isso, a melhor solução para gerenciar seu projeto de compliance LGPD é utilizar uma plataforma de gestão integrada de segurança da informação e conformidade como o GAT Core.
É possível importar planilhas como a da LGPD na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core também envia um questionário para coleta de dados de outras áreas da empresa de forma prática, ágil e com rastreabilidade.
Além da LGPD, nossa plataforma já inclui checklists de compliance com a ISO 27001, ISO 27701, GDPR, PCI-DSS e Bacen 4.658 e 3.909, entre outros, facilitando e gerando economia significativa de custos em processos de auditoria. Para entender como funciona, solicite uma demonstração de como importar nossa planilha como um checklist para o GAT Core e ter uma visão integrada da gestão de conformidade com a LGPD.
Agilize o processo de adequação e centralizar todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.
O investimento em ferramentas de gestão e conformidade é visto como um grande diferencial para todo tipo de operação que necessita se adequar a leis e regulações. A plataforma GAT Core auxilia no controle da implantação, adequação e conformidade, por meio da aplicação de questionários, geração de índices, gráficos e dashboards, realização de verificações periódicas, identificação dos pontos fortes e fracos em seus processos e muito mais, ajudando a empresa a ficar mais perto de atingir o nível de conformidade que deseja.
Tenha todos os seus controles e acompanhamento de conformidade com leis e gestão dos seus ativos em uma única ferramenta. Agende uma demonstração da plataforma GAT Core e saiba como a ferramenta pode desempenhar um papel estratégico na gestão de seus processos dentro da sua equipe de compliance e cibersegurança, colaborando com a formação dos profissionais e trazendo conhecimento para a empresa.