Gestão de Privacidade
(Tempo de Leitura: 9 min.)

Qual a relevância da Gestão de Privacidade e Segurança da Informação diante dos desafios propostos pelas novas regulamentações? 

A privacidade de dados é um dos assuntos mais discutidos, desde que as informações digitais se tornaram essenciais para o sucesso de empresas em todo o mundo. Conversas sobre a privacidade de dados e LGPD geralmente tem o foco em buscar atender legalmente o que é exigido pelas leis vigentes. Não se trata apenas de uma questão de conformidade. Na sociedade digital, manter uma boa imagem da empresa e respeitar os direitos dos cidadãos são premissas fundamentais para a continuidade do negócio e atenuação de riscos operacionais.

Um vazamento de dados é capaz de causar prejuízos não apenas financeiros mas também danos irreparáveis à reputação de uma empresa. Para evitá-lo, ou mitigar esse risco, não basta simplesmente atender conformidades. É preciso estabelecer uma cultura e gestão de segurança da informação de maneira efetiva.

Sendo assim, a gestão de privacidade exige conhecimentos multidisciplinares — além dos processos conhecidos de segurança da informação — para o cumprimento de regulamentações. É preciso que as empresas avancem com seus planos e se mostrem capazes em trabalhar com a gestão de segurança da informação e as demais áreas existentes na empresa de forma colaborativa.

Nesse artigo, explicamos a diferença entre gestão de privacidade e segurança da informação e como conseguir tirar proveito do uso complementar dos processos dessas áreas.

O que é Gestão de Privacidade?

A privacidade de dados é um requisito importante no compartilhamento e coleta de informações. Com o avanço tecnológico, grande parte dos dados pessoais estão armazenados em sistemas de computadores ou em nuvem. São considerados dados pessoais, nome completo, endereço, documento de identificação, localização, histórico de navegação e cookies de navegação. 

O tema ganhou maior relevância devido a criação de novas regulamentações da privacidade de dados pessoais, como o Regulamento Geral sobre Proteção de Dados (GDPR) na Europa e Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil — acesse o nosso guia completo para conformidade com a LGPD.   

A Gestão de Privacidade é considerada um conjunto de ferramentas, processos e técnicas utilizados para avaliação e controle da privacidade e proteção de informações em uma empresa. É esperado das empresas, que armazenam e compartilham dados pessoais, o mínimo de controle sobre a manipulação desses dados. Esse cuidado pode evitar o vazamento de informações e preservação da privacidade dos usuários.

A Gestão de Privacidade envolve várias atividades essenciais para a estruturação e manutenção da privacidade dos dados na organização. As principais atividades que devem ser executadas são, a criação de uma política de privacidade, registro de atividades de tratamento de dados, obtenção e gestão do consentimento dos usuários, gerenciamento de cookies, privacidade por desenho ou por padrão, definição de responsabilidades, definição de requisitos técnicos de segurança (como a utilização de certificados SSL), atendimento às solicitações de acesso aos dados dos usuários (DSAR – Data Subject Access Request) e contato com as autoridades de controle.

Essa gestão tem foco em todo ciclo de vida de um dado pessoal ou sensível dentro do ambiente empresarial e por isso, muitas vezes participa de rotinas de segurança da informação. Em paralelo, a gestão da segurança da informação apresenta focos divididos entre vários processos, onde o objetivo maior é manter o processos de negócios em pleno funcionamento e gerenciar riscos cibernéticos e digitais. Leia nosso artigo  sobre gestão de segurança da informação para compreender melhor a área e suas atividades.

De onde vem o debate entre Gestão de Privacidade e Segurança da Informação?

A área de tecnologia é uma das maiores custodiantes de dados e informações sobre qualquer negócio privado ou público. Os bancos de dados armazenam várias dessas informações e ainda são consumidos por diversas aplicações diariamente. É preciso avaliar como a segurança está aplicada para garantir a privacidade dos usuários. 

A segurança da informação e privacidade são diferentes, pois possuem abordagens distintas para alcançar seus próprios objetivos. A segurança da informação tem como responsabilidade proteger o negócio contra riscos e incidentes como vazamento de dados, ataques cibernéticos e indisponibilidade.. Enquanto isso, a gestão de privacidade busca atuar sobre como a informação é coletada, distribuída e utilizada dentro de uma organização.

Profissionais de segurança da informação costumam trabalhar com ferramentas específicas como sistemas de permissões, classificação da informação, gerenciamento de acesso e análise de comportamento dos usuários. Esses profissionais trabalham para dificultar o acesso não autorizado de informações sensíveis — dados de cartão de crédito, informações pessoais ou intelectuais — por pessoas não autorizadas ou invasores. Do outro lado, o profissional de privacidade trabalha para que a empresa possua permissão para armazenar esses dados e informações.

Algumas empresas entendem que, se o gerenciamento de dados confidenciais é feito de acordo com os requisitos definidos pela segurança da informação, consequentemente elas também estão em conformidade com os requisitos de privacidade de dados. Mesmo com as melhores ferramentas de segurança de dados, essa estratégia pode falhar. Colaboradores ou terceiros com acesso a esses dados confidenciais podem administrá-los de maneira incorreta, se por exemplo, não souberem da existência das políticas e processos de privacidade.

Existem diversos cargos e atribuições na Gestão de Privacidade e na Gestão de Segurança que muitas vezes podem parecer sobrepostos. Continue a leitura para entender um pouco mais quais são e como se diferenciam.

Gestão de Privacidade e o DPO (Oficial de Proteção de Dados)

A partir da lei nº 13.709/2018, também conhecida por Lei Geral de Proteção de Dados (LGPD), foi criado um novo cargo para as empresas que buscam essa conformidade. Surgiu o DPO (Oficial de Proteção de Dados), um profissional responsável pela Gestão de Privacidade e Conformidade com a Privacidade dentro das empresas. Esse profissional atua como uma referência de organização dos dados pessoais armazenados pelas empresas e fornece orientações sobre como obter a conformidade com a LGPD. 

O DPO é o principal contato entre as autoridades que monitoram os processos de proteção dos dados pessoais — no Brasil, temos a ANPD (Autoridade Nacional de Proteção de Dados) — e os titulares dos dados pessoais. É solicitado que esse profissional conheça profundamente o negócio da empresa, assim como a própria legislação em proteção de dados e questões de segurança da informação, prezando por estabelecer uma boa comunicação. 

A função do DPO surgiu primeiro no Regulamento Geral sobre a Proteção de Dados (GDPR) em 2018, esse regulamento determina o direito europeu sobre privacidade e proteção de dados pessoais e foi utilizado como referência pela LGPD. Ambos os regulamentos, definem responsabilidades e atividades para o encarregado pela Gestão e Conformidade com a Privacidade dos dados pessoais nas empresas, algumas das principais responsabilidades são:

  • Cooperar com as autoridades, podendo servir como uma ponte entre a autoridade de supervisão e a empresa. 
  • Controlar a conformidade com as leis existentes sobre proteção de dados pessoais e políticas da empresa, incluindo a atribuição de responsabilidades. 
  • Informar e aconselhar a empresa e os demais profissionais sobre suas obrigações nos termos da legislação. 

As principais atividades de um DPO são:

  • Orientar os colaboradores e outras partes interessadas da empresa a respeito de práticas a serem tomadas em relação à proteção de dados pessoais. 
  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e direcionar providências.
  • Receber comunicados da autoridade nacional e direcionar providências. 

É esperado que o DPO auxilie a empresa no desenvolvimento e monitoramento de um programa de compliance com foco em proteção de dados. As empresas devem indicar uma única pessoa encarregada pela Gestão e Conformidade com a Privacidade, esse profissional precisa ter autonomia e independência no exercício de sua função e assim, ele pode criar comitês multidisciplinares com profissionais de áreas diferentes para discutir projetos, implementação e gestão da privacidade na empresa. 

Nesse cenário, a Lei Geral de Proteção de Dados (LGPD) se torna um marco para o avanço da segurança da informação, dessa vez incluindo a privacidade na pauta. A lei define que as empresas precisam adotar medidas de segurança, técnicas e processos capazes de proteger os dados pessoais contra acesso não autorizado, destruição acidental ou ilegal, perda, alteração e distribuição indevida. 

A LGPD prevê que todo processamento de dados pessoais e confidenciais deverá ser documentado desde a coleta inicial até o término do uso. É perceptível que as empresas precisarão avaliar a segurança das informações como um ponto prático de suas operações e por isso, algumas empresas estão focalizando a proteção de dados e segurança da informação em um único profissional.

O que faz um CSO (Chief Security Officer)

O CSO (Chief Security Officer) é o responsável por desenvolver e manter a visão, estratégia e ações que contribuam para que as tecnologias e ativos de informações estejam protegidos corretamente. Entre suas responsabilidades estão a identificação, desenvolvimento, implementação e manutenção de processos que reduzam os riscos de segurança e o apoio à implementação de políticas e procedimentos.

Entre os seus deveres estão a realização de treinamentos de conscientização de segurança dos colaboradores, identificação de métricas de segurança, desenvolvimento de práticas seguras de negócio e comunicação, definição de compra de produtos de segurança, garantindo que a empresa esteja em conformidade com as regras existentes perante os órgãos relevantes e desenvolvendo práticas de segurança.

Um CSO pode se tornar um DPO?

Enquanto, o DPO é o responsável legal pela privacidade dos dados da empresa, com ênfase no tratamento e armazenado de dados pessoais nesse ambiente, o CSO é o responsável pela estratégia de segurança aplicada em tecnologia, no ambiente físico, na informação e de regulações. É possível que o CSO assuma as responsabilidades do DPO, isso cria uma expansão em sua atuação nas diretrizes corporativas para garantir a conformidade com a LGPD e outras regulamentações. 

Mas o CSO está preparado para assumir a Gestão de Privacidade? 

Geralmente, as empresas determinam orçamentos limitados para atender vários setores internos e assim, o CSO poderá se ver em conflito entre priorizar as demandas relativas à privacidade e rotinas de segurança da informação. Além dos possíveis conflitos de interesses que a indicação desse profissional podem causar, a função de DPO exige o conhecimento em técnicas de interpretação de leis, e isso é algo que requer anos de experiência e prática. 

Além disso, em alguns casos, as responsabilidades de um DPO podem se tornar um peso na rotina de trabalho do CSO. Por outro lado, a função do DPO exige diversos conhecimentos e por isso, não será fácil encontrar todos esses atributos em um único profissional. A melhor abordagem para as empresas brasileiras é a criação de um grupo com conhecimentos e experiências multidisciplinares, apoiando as ações do DPO. É recomendado que o CSO faça parte desse grupo.

DPO x CSO: responsabilidades entre áreas complementares

Mesmo que os conhecimentos do CSO facilitem a sua atuação como DPO, existem responsabilidades diferentes exigidas em cada atuação. Por exemplo, o DPO foca principalmente como a empresa processa e armazena os dados pessoais em seu ambiente, mas não se preocupa com a proteção dos interesses de segurança da informação, essa responsabilidade é do CSO. 

De maneira prática, a tabela a seguir busca esclarecer as principais responsabilidades de cada área. Assim, percebemos que o DPO está preocupado mais com a gestão da privacidade e por sua vez, o CSO está focado nos processos de segurança da informação. A privacidade pode fazer parte do escopo de projetos ou processo da rotina do CSO, mas não é o seu foco principal.

DPO CSO
Assegurar o cumprimento das políticas de privacidade e proteção de dados.Trabalhar na recuperação de desastres e gerenciamento de continuidade de negócios.
Realizar a avaliação na exposição aos riscos de violações de privacidade.Gerenciar equipes de resposta a incidentes de segurança.
Promover formações de boas práticas para a proteção de dados.Ser o responsável por conformidade regulatória de informações.
Controlar o cumprimento de contratos escritos. Gerenciar riscos de segurança.
Controlar e regular a conformidade da LGPD.Controlar identidade e acesso.
Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento de dados.Gerenciar controles de tecnologia da informação para sistemas.
Ser o ponto de contato com as autoridades de controle.Realizar investigações de segurança.

Ferramentas para Gestão de Privacidade

É perceptível que a gestão de privacidade está crescendo no mercado e atualmente, existem diversas ferramentas específicas para gerenciamento de privacidade dos dados. Em um estudo realizado recentemente pela Associação Internacional de Profissionais de Privacidade (IAPP), foi disponibilizada uma lista completa com pelo menos 300 empresas que atuam no fornecimento de ferramentas de tecnologia e privacidade no mundo. 

Ferramentas mundialmente conhecidas pelo gerenciamento de privacidade fazem parte dessa lista, como OneTrust, Privaci.ai, DataGrai e Osanol. Essas ferramentas auxiliam as empresas em diversos assuntos relacionados à privacidade, como por exemplo:

  • Gerenciamento de consentimento de usuários.
  • Mapeamento de dados.
  • Gerenciamento dos pedidos dos titulares dos dados.
  • Identificação de novos dados.
  • Identificação do uso de pseudônimo.
  • Comunicação interna.
  • Informações de privacidade.

GAT — A plataforma de Gestão de Segurança da Informação 

Nesse artigo, explicamos que os processos de gestão de segurança da informação podem ser utilizados como complemento a uma estratégia de gerenciamento de privacidade. O fato é que as empresas que possuem uma segurança da informação bem implementada e madura, estão próximas ou já possuem conformidade com questões de privacidade e proteção de dados exigidos por regulamentações.  

Contudo, existem empresas que estão buscando compreender como questões de privacidade podem afetar seus negócios e ao mesmo tempo, possuem uma gestão de segurança limitada. Para essas empresas um ganho de maturidade de seu Programa de Segurança pode ser o melhor caminho para garantir não apenas sua conformidade com regulamentações de privacidade mas também diminuir efetivamente seu risco de incidentes e vazamento de dados.  

A plataforma GAT (Get Ahead of Threats) é uma ferramenta que pode contribuir efetivamente com o ganho de maturidade de programas de gestão de segurança da informação. Com a utilização da plataforma, é possível compreender em que situação a sua empresa está agora, e os ativos que representam maior risco de acordo com as características do seu negócio.

Com o GAT, é possível gerenciar o processo de adequação à conformidades a regulamentações, mas gerenciar o programa de segurança de acordo com os melhores frameworks de segurança como NIST, ISO 27.001 e OWASP, por meio de checklists e base de conhecimento contidos na plataforma. Acompanhe a evolução da segurança da informação na sua empresa com métricas em tempo real, SLA e rastreabilidade de apontamentos. 

Com a utilização da plataforma GAT é possível ter visibilidade das áreas de Riscos Cibernéticos, Continuidade de Negócios, Incidentes de Segurança da Informação dentro da sua empresa. Conheça os principais recursos da plataforma GAT:

  • Integração dos ativos da empresa — pessoas, infraestrutura, aplicações, cloud, IoT e processos.
  • Gestão de ativos pela criticidade do negócio.
  • Definição de planos de ação e workflows de processos. 
  • Métricas em tempo real.
  • Monitoração contínua com ferramentas Tenable, Qualys e Jira.
  • Automação de tarefas repetidas em processos.
  • Gestão de projetos e processos nas áreas de compliance com a disponibilização de checklists, modelos de auditoria interna e modelos de avaliação.

Não é necessário abrir mão da privacidade pela segurança. É possível conduzir as duas áreas em sinergia, e o mais importante é entender os pontos em que elas se complementam, visando maior aproveitamento das similaridades em benefício da sua empresa. 

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos