30.03.2020
Artigos

A LGPD traz obrigações para praticamente todas as empresas, e de qualquer porte, e com isto, traz também oportunidades para a TI. Você não vai ficar de fora dessa, vai?

A LGPD traz obrigações para praticamente todas as empresas, e de qualquer porte, e com isto, traz também oportunidades para a TI. Você não vai ficar de fora dessa, vai?

Seja para agosto de 2020, ou para 2022, a LGPD exige uma série de adequações necessárias, portanto, nossa recomendação é que sua empresa comece já este processo.

Em aproximadamente 10 minutos de leitura você estará seguro para suas próximas ações.

Vivemos a era da informação e do conhecimento, Big Data – Small Data – Analytics – Data Mining – Marketing Digital – Internet das Coisas – Segurança da Informação – Inteligência Artificial – Ameaças Digitais – Redes Sociais – Fake News – Cybercrimes – Ransomware etc e isto nos leva a concordar que a privacidade e o tratamento de dados precisam de maior controle.

O inicio da aplicação da lei esta prevista para agosto de 2020, porém, há em tramitação a alteração para que se inicie em Agosto de 2022.

 

1 – Resumo dos principais pontos da Lei

A LGPD se aplica a dados pessoais, estejam eles digitalizados ou em papel, e se aplica a empresas brasileiras ou órgãos públicos brasileiros, que queiram ofertar  algum bem ou serviço ou tratar dados de pessoas localizadas no Brasil.

Altera parte e complementa o Marco Civil da Internet, e tomou como base outros regulamentos similares de outros países como a (GDPR) na União Europeia, e o California Consumer Privacy (CCPA) nos Estados Unidos da América.

A lei estabelece direitos de cada indivíduo no conhecimento de como seus dados são armazenados, processados e utilizados.

Visa a proteção de documentos digitais e documentos físicos, logo trata-se não só de cibersegurança, mas também de segurança física de documentos contra riscos de vazamentos de dados.

A LGPD beneficia usuários pelo fato de ter melhor controle na manipulação de seus dados, mas também é uma forma de garantir a confiabilidade demonstrada pelas empresas, o que refletirá uma maior qualidade e seleção de produtos e serviços.

Cabe ressaltar que dados pessoais não são apenas de clientes, mas também colaboradores, fornecedores, prospects, enfim, qualquer dado tratado que possa ser identificado.

Além do alinhamento das ações da empresa no âmbito Jurídico, de TI, RH, Marketing e Financeiro por exemplo, será necessário providenciar um amparo nas instrumentações jurídica, utilizar-se de tecnologias para restrição de acessos a dados pessoais e compor processos para um programa de Conscientização para Segurança da Informação.

De modo resumido, haverá a necessidade de estabelecer uma conduta de coleta, armazenamento, tratamento, compartilhamento e segurança dos dados, com o propósito de manter o registro seguro e deixando claro de modo transparente ao dono do dado, ou seja, cabe ressaltar que o compliance com a LGPD será um conjunto de iniciativas que envolvem questões jurídicas, de processos, pessoas e tecnologia.

Os conceitos apresentados na Lei irá nos auxilia nesta compreensão:

  • Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
  • Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
  • Dado anonimizado é relativo a um titular que não possa ser identificado
  • Banco de dados é o conjunto estruturado de informações pessoais
  • Titular é a pessoa a quem se referem os dados
  • Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
  • Operador é quem executa o tratamento em nome do controlador
  • Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
  • Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
  • Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis

Observe que a lei traz a figura do controlador e operador, que podem ser uma pessoa física ou jurídica, que possuem uma série de obrigações no controle e tratamento dos dados.

Será fundamental incorporar o risco de proteção de dados na estrutura de gerenciamento de riscos e de controles internos da sua empresa, caberá ao controlador, também denominado DPO (Na tradução: oficial de proteção de dados), manter o compliance e adotar as medidas de governança necessárias.

Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais. Os titulares poderão solicitar, a qualquer momento:

  • Confirmação da existência de tratamento.
  • Acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
  • Portabilidade dos dados a outro fornecedor de serviço ou produto.
  • Eliminação dos dados pessoais tratados.
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.
  • Revisão por pessoa natural de decisões automatizadas.

De acordo com os fundamentos no artigo 2º da lei será necessário assegurar:

  • Privacidade
  • Autodeterminação
  • Liberdades (expressão, informação, comunicação e opinião)
  • Intimidade, Honra e Imagem
  • Desenvolvimento Econômico e Tecnológico
  • Livre Iniciativa, Livre Concorrência e a Defesa do Consumidor
  • Direitos humanos, dignidade pessoal e livre exercício da cidadania

E de acordo com os princípios do artigo 6° será necessário providenciar para que hajam:

  • Finalidade
  • Adequação
  • Necessidade
  • Livre Acesso
  • Qualidade dos Dados
  • Transparência
  • Prevenção
  • Não Discriminação
  • Responsabilização e Prestação de Contas

No artigo 7º as hipóteses autorizadoras para que a empresa utilize do tratamento de dados são estas:

  • Consentimento do Titular
  • Cumprimento de Obrigação Legal ou Regulatória
  • Necessário à execução de políticas públicas
  • Realização de Estudos por Órgãos de Pesquisa mediante anonimização
  • Necessário à execução de contratos em que o titular seja parte
  • Exercício Regular de Direito em Processo Judicial, Administrativo ou Arbitral
  • Proteção da Vida ou Incolumidade Física do Titular ou Terceiro
  • Tutela da Saúde, quando executado por profissionais e entidades de Saúde
  • Atendimento a interesses legítimos do controlador ou de terceiro
  • Proteção do Crédito

 

2 – Oportunidades para profissionais, empresas de TI e provedores, para compliance com a LGPD e com a segurança da informação.

Existem diversos frameworks para governança em TI, serviços de TI e desenvolvimento, cito os mais usados como Cobit5, ISO 27001, ITIL e Privacy by Design por exemplo. Na LGPD é possível identificar alguns conceitos relacionados a estes Frameworks

Neste contexto, seja você um gestor ou analista de TI CLT, seja uma empresa prestadoras de serviços de TI, um integrador, um desenvolvedor ou um provedor, existe uma grande oportunidade em aplicar os conceitos destes frameworks e assegurar o compliance da TI para com a LGPD,aqui está a chance de mostrar seus serviços, ser reconhecido profissionalmente e lucrar com isto.

A Tecnologia da Informação é uma das áreas dentro da gestão de negócios que compõe a governança corporativa. Sendo assim ela possui sua própria governança, um dos modelos internacionalmente conhecidos é o COBIT (Control Objectives for Information and related Technology) que é composto por estes pilares:

  • Gestão de Serviço
  • Gestão de Projeto
  • Nível de Maturidade em Desenvolvimento
  • Gestão de Processos
  • Gestão da Segurança da Informação

Vamos explorar rapidamente o pilar Gestão da Segurança da Informação:

A prevenção, a proteção e a sobrevivência de tudo o que é construído, desenvolvido e disponibilizado por todas os pilares da Governança Corporativa de sua empresa, se tornam dependentes da gestão da segurança da informação.

A chegada da LGPD traz uma luz sobre este pilar, visto que a informação a ser gerenciada, neste caso são os dados utilizados por sua empresa, precisam estar em segurança.

Você poderá levar este esclarecimento ao conhecimento dos líderes na sua empresa, bem como, se for o líder ou a empresa terceirizada para isto, poderá fazer uma apresentação com base neste post sobre os principais aspectos da LGPD, sugerir as iniciativas para adequação da empresa à LGPD e liderar as iniciativas no pilar da segurança da informação na área de TI.

 

3 – Veja a seguir os principais fatores para conformidade em segurança da informação sugeridos pela iTFLEX.

Seja em pequenas ou grandes empresas, e de acordo com a capacidade de investimento de cada uma, a sua empresa poderá agregar outras camadas e recursos de segurança, tecnologias e serviços.

1. Utilizar um Firewall

O firewall é um software capaz de bloquear acessos não autorizados ao ambiente de rede da empresa através da Internet, prevenindo roubos de informações.

O Firewall também armazena os logs de acessos historicamente e traz proteção ao ambiente de rede.

O Firewall FWFLEX NGFW da iTFLEX poderá ser a sua solução para atender estes requisitos.

Consulte nossos especialistas e saiba mais para implementar em sua empresa ou para se tornar um canal autorizado de venda.

2. Rotina para manter a atualização dos sistemas operacionais de servidores, aplicativos e computadores.

Muitas ameaças aproveitam-se de falhas de segurança dos sistemas operacionais, como o Ransonware Wannacry que explorou uma falha do Windows, é de suma importância manter os sistemas operacionais atualizados para aplicar as correções.

3. Uso de Antivírus

Um antivírus de rede vai te proporcionar gerenciamento centralizado de todos os clientes na rede, atualizações e escaneamentos são configurados a partir do servidor.

Isto limita um invasor externo acessar dados existentes nos computadores ou utilizar os computadores como porta de entrada em sua rede visando outros dados.

4. Autenticação de usuários, bem como o nível de permissões de acesso.

Este controle é fundamental para assegurar que a pessoa em sua posição tenha acesso apenas aos dados que são cabidos para exercer suas funções, bem como permitir mitigar incidentes de segurança.

5. Manter gerenciamento de arquivos e documentos, desde onde estão arquivados e quem pode acessá-los.

Assegure ter um nível de acesso gerenciado aos documentos importantes em sua empresa e providencie políticas restritivas de acesso às informações mais importantes, isto poderá impedir que a invasão de um computador em sua rede ou invasão física na sua empresa tenha acesso a dados críticos.

6. Faça a proteção de usuários externos e no uso da nuvem

As operações em nuvem permitem diversas possibilidades de segurança e manejo dos dados. É fundamental o uso de criptografia e configurações dos links que assegurem a qualidade e segurança das conexões e no transporte de arquivos.

7. Assegure o desenvolvimento seguro das soluções e aplicativos

Você pode exigir que seu fornecedor apresente evidências sobre desenvolvimento seguro, encomendar uma auditoria ou poderá trocar de fornecedor, uma dica é utilizar como base o guia Open Web Application Security Project (OWASP). Sua empresa também poderá adquirir uma solução para a proteção da aplicação (WAF).

8. Mantenha Backup

Manter a cópia de segurança dos dados importantes para sua empresa poderá auxiliar a não perder dados em casos de problemas com o hardware ou o software.

Segurança da informação tem como pilares a Integridade, disponibilidade e confiabilidade da informação, logo é obrigação primária manter backup seguro das informações.

9. Aplique e documente as políticas de segurança

De que adianta ter tecnologias, se um funcionário tira uma foto com seu celular particular utilizando e envia para pessoas fora da empresa, e como controlar isto em momentos de home office por exemplo? Por maior aparato e tecnologias empregadas, o fator humano pode burlar regras que coloquem sua empresa em risco. Um trabalho de conscientização, de políticas e de amparo jurídico é fundamental para manter sua empresa em segurança.

10. Gestão de processos de governança em TI

Manter a conformidade de processos, pessoas, leis, produtos, serviços etc, para assegurar a manutenção dos planos, melhorias, e adequações constante com novos processos de gestão.

Reforçamos que Segurança da informação tem relação com processos, pessoas e ferramentas/tecnologias, e que é possível ampliar camadas de segurança através de frameworks, processos de trabalho e outras tecnologias, e que estas ações também possuem relação com o porte do ambiente, de toda forma, as recomendações acima são de certo modo básicas e essenciais.

A iTFLEX atua com ferramentas/tecnologias que fazem parte da segurança da informação, atuamos com processo de venda consultiva diretamente ao cliente final, desde que exista em gestor de TI na empresa, e atuamos com vendas das ferramentas através de parceiros autorizados, oferecendo uma orientação geral sobre as boas práticas no momento da venda, e elaborando o projeto de Firewall de acordo com as características do ambiente e expectativas de investimentos.

 

4 – Conclusões:

A LGPD estabelece e altera os processos de captura, de armazenamento e utilização das informações, e estas informações são de propriedade do usuário. Se houver qualquer tipo de violação ou exposição, a regulamentação estabelece que é preciso notificar os usuários em até 72 horas, ou será multada.

A fiscalização e as infrações serão aplicadas pelo órgão público federal  ANPD, Autoridade Nacional de Proteção de Dados, e podem chegar a 2% do faturamento da empresa em seu último exercício fiscal e limitada a R$ 50 milhões.

De forma ou de outra as empresas terão que investir na adequação, e você profissional de TI poderá ser o propulsor destas adequações, especialmente na sua área.

A lei é complexa, muito de seus artigos cabem interpretação jurídica dúbia, o que já esta dando o que falar. Neste contexto, nossa principal recomendação é buscar uma assessoria jurídica desde já.

Seja sua empresa grande ou pequena, o primeiro passo recomendado é uma auditoria ou um diagnosticos entre as áreas e seus responsáveis, para que possam identificar o fluxo de dados existentes, desta forma poderá evidenciar onde estão as falhas, e enumerar as correções necessárias.

O resumo do ciclo de vida dos dados são: Coleta > Armazenamento > Recuperação > Descarte.

Será preciso revisar contratos de funcionários, clientes, fornecedores e site para atualizá-los e colocá-los em conformidade.

Será necessário assegurar processos que reconheçam as solicitações de acesso dos sujeitos/titulares dos dados, para lhes fornecer respostas dentro dos prazos legais.

A conformidade com o LGPD, assim como para as outras leis caso sua empresa forneça para outros países, tem relação com uma comunicação interna fluida e eficaz na empresa, tornando o compliance com as leis parte integrada dos processos de gestão.

Adequar-se à LGPD, é de suma importância para os profissionais de TI e empresas, uma vez que a segurança dos dados e o tratamento de forma mais segura, serão a garantia de sua maior credibilidade perante ao mercado.

As regras se aplicam tanto para alta direção na figura de controllers e DPOs, que são os responsáveis pela aplicação das boas práticas, por controlarem e trabalharem com os dados sem violar a regulamentação, assim como, para os líderes e executores de processos, que apoiam a definição das ferramentas utilizadas e precisam garantir que o processamento seja feito com respeito à privacidade.

A iTFLEX é desenvolvedora de produtos como o Firewall FWFLEX e o VPNFLEX, que são tecnologias fundamentais para segurança da informação.

Esperamos ter contribuído, ficamos a disposição, e te desejamos um bom trabalho!

iTFLEX TECNOLOGIA
Autor: Luis Fernando Perandré
Sócio – Diretor comercial e marketing
Membro do time de segurança da informação da iTFLEX TECNOLOGIA


Soluções para simplificar o gerenciamento de redes, segurança da informação e comunicações Conheça
FIREWALL NGFW-FWFLEX
NGFW - Next Generation Firewall em português, com recursos de última geração para máxima segurança. Online demo
Entre em Contato
(47) 3033-9292
(47) 99912-9257
(41) 4042-4953
Categorias
Posts Mais Vistos