Políticas de Segurança da Informação são o Santo Graal para o compliance com a LGPD

Pensar em uma organização sem tecnologia da informação atualmente é quase impossível, e isso não é nenhum segredoafinal a quantidade de dados gerados e a velocidade com que precisamos transmitir e receber informações nos tornaram dependentes do uso de softwares dispositivos desenvolvidos para processar com eficiência um volume cada vez maior de dados. A dependência desta conectividade trouxe centenas de mudanças à sociedade e um novo cenário às organizações e aos indivíduos que lidam com informações sensíveis e críticas de negócio. 

Informações de negócio são o petróleo da era digital, e quem às detém estão à frente da chamada “economia dos dados”. Gigantes como Amazon, Google, Microsoft, Apple e Facebook são hoje umas das companhias mais valiosas do mundo. Segundo a revista “The economist”, em um artigo publicado em maio de 2017, a empresa Amazon detinha 50% de todos os dólares gastos online nos Estados Unidos. O Google e o Facebook contabilizaram quase toda receita de crescimento em propaganda digital nos Estados Unidos no último ano. E o que estas gigantes tem em comum? Dados. Informações de usuários são coletadas em cadastros e termos de consentimento para promoverem experiências personalizadas, capazes de oferecer ao usuário exatamente tudo aquilo que ele precisa sem sair do seu conforto ou da sua rotina. 

Informação é poder 

Nos quadrinhos do Homem Aranha, o “Tio Ben” diz ao seu sobrinho Peter Parker: “com grandes poderes, vêm grandes responsabilidades”. Esta frase se encaixa muito bem no contexto de Segurança da Informação, porém com uma pequena adaptação: “com as informações, vêm grandes responsabilidades”. Este é um dos grandes objetivos da criação da lei nº 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD), em agosto de 2018. A lei trouxe à tona a responsabilidade das organizações perante aos dados pessoais coletados e tratados nas operações organizacionais, a obrigação de manter o sigilo e a garantia à privacidade dos titulares de dados pessoais. 

A LGPD dispõe sobre a coleta e tratamento de dados pessoais em qualquer operação pela organização em algumas hipóteses. Essas bases legais devem ser consideradas durante toda e qualquer operação de tratamento de dados pessoais, que são elas: 

  • Mediante o fornecimento de consentimento pelo titular; 
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador; 
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; 
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; 
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; 
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiros; 
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;  
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 

Cultura empresarial de Segurança da Informação 

Mas como garantir o primeiro princípio básico da disciplina de proteção de dados pessoais que é o respeito à privacidade? O grande desafio das organizações modernas é garantir a privacidade do indivíduo em todos os seus processos, projetos internos e externos, durante e após o tratamento dos dados pessoais, junto à parceiros e terceiros. 

Estar em compliance com a LGPD e garantir a privacidade dos titulares de dados pessoais é obrigatório e implementar boas práticas de segurança das informações é necessário. Uma cultura empresarial baseada na segurança dos dados pessoais e informações de negócio não é uma ferramenta ou um software que pode ser facilmente adquirido e implantado na organização. É preciso investir em tecnologia, talento, treinamento e possivelmente fontes externas de conhecimento para apoiar esta mudança estratégica. 

A primeira etapa para garantir a proteção e a privacidade de dados pessoais e dados de negócio é identificar onde a empresa precisa investir para implantar controles de segurança da informação, criando assim um ativo estratégico para organização. Além disso, a estratégia de implantar controles de segurança deve pertencer à liderança da empresa difundindo para todos os funcionários por meio de uma governança corporativa baseada na segurança da informação. 

Controles de segurança da informação 

A implementação de controles de segurança da informação para garantir o princípio básico da LGPD de privacidade de dados pessoais e a proteção de dados do seu core business além de ser uma decisão estratégica de proteção do negócio, é também o caminho mais indicado para o sono tranquilo” com vistas a estar preparado para uma fiscalização pela ANPD. 

A transformação da cultura da empresa começa integrando a segurança das informações ao seu DNA, identificando os gaps, desenvolvendo estratégia para a segurança, tanto na atuação de dados tratados internamente quanto por parceiros de negócio. Estabelecer o que chamamos de “Política de Segurança da Informação”, ou simplesmente PSI, vai garantir um padrão de comportamento abrangendo todas as partes envolvidas para o cumprimento de diretrizes estabelecidas estrategicamente para cumprir a legislação LGPD e proteger as informações quanto à integridade, confidencialidade e disponibilidade. 

As políticas implementadas serão como o Santo Graal para a direção da organização, garantindo que processos, pessoas e tecnologias estejam alinhados à regulamentação estabelecida na LGPD, às melhores práticas de proteção à privacidade e sigilo das informações e ao planejamento estratégico da organização. 

Gostou deste artigo? Não deixe de compartilhar com seus amigos e acompanhar nosso Blog.

 Fonte da pesquisa: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data