Atendimento à LGPD (Lei Geral de Proteção de Dados (Lei 13709/18)
O que é?
Lei ordinária Geral de Proteção de Dados privativos e pessoais das pessoas naturais (Físicas, não Jurídicas). Trata-se da lei que complementa o Marco Civil da Internet na questão da Segurança e o amplia para todas as informações pessoais de todas as pessoas no Brasil, para serviços de toda ordem, online e offline, ou seja, para qualquer cadastro preenchido em aplicativos e sites de internet, ou naquela loja que pede dados pessoais para fidelização, ainda que nada tenha a ver com ações eletrônicas, esta lei se aplica.
A expansão das atividades de preservação dos dados pessoais e privativos amplia também as ações da segurança, preconizadas pela Norma ABNT NBR ISO/IEC 27002, para ações constantes em outras três normas da família, neste caso, as normas ABNT NBR ISO/IEC 27017, ABNT NBR ISO/IEC 27018 e ABNT NBR ISO/IEC 27701, além de todos os requisitos constantes no CIS (Center of Internet Security), que se aplicam diretamente ao modo como as pessoas usam os seus próprios dados e os de terceiros, e preservam as informações “privativas”.
A lei foi promulgada em 14/08/2018 e deveria ter entrado em vigor 18 meses à frente, ou seja, em fevereiro de 2020, mas foi adiada para janeiro de 2021. O desafio é realizar toda a tarefa analisando as questões de cunho estrutural durante este período de preparação e adequação. A partir desta data, quando ocorrências de evasão ou vazamento de informações ocorrer, e que são corriqueiras atualmente, caso a empresa não tenha realizado suas ações de preservação e atuação exigidas pela Lei, poderá ser processada e incorrer em multa que varia de 2% (dois por cento) do faturamento do exercício anterior até ao máximo de R$ 50 milhões, de acordo com o porte da empresa e sua condição estatutária, além de outras sanções.
Qual a importância para a empresa?
Atuar dentro da legalidade, protegendo-se de possíveis processos por eventos que possa não controlar. É do conhecimento geral que não existe segurança 100%, ou seja, por mais que se esteja preparado, eventos inesperados ocorrem e isso não é uma condição certamente resolvida com preparação. Assim sendo, a Lei traz consigo as ações que devem ser tomadas caso algo assim ocorra. Não atender a Lei, entretanto, não se preocupando com a Segurança da Informação, é um erro que a partir da vigência legal pode levar a empresa até à falência.
Quando a empresa precisa disso?
Se a sua empresa atende clientes e possui deles informações sensíveis e particulares, tais como nome, documentos (CPF, RG, Título de Eleitor, etc.), endereço, telefone, gostos, preferências, ativismos, condição financeira, posicionamentos políticos, religiosos e sexuais, etc., ela precisa se adequar à LGPD.
Lembramos que a Lei não diferencia atividades ou trabalhos eletrônicos (online) dos presenciais (offline). Portanto, a recomendação é que, ao conhecer um cliente, se não precisar de seus dados pessoais, não os solicite ou você precisará se adequar a dessa Lei.
Assim sendo, caso precise das informações dos seus clientes, cuide delas respeitando os requisitos da Lei e se prepare com toda a documentação devida para o cumprimento desta obrigação legal, tarefa árdua, mas não impossível de realizar, seja sua empresa do tamanho que for. Não há diferenças na lei pelo tamanho das empresas, mas a complexidade do seu negócio trará maior ou menor necessidade de trabalhos correlatos.
Desafios e tempo de execução
É difícil precisar um tempo de execução; mais fácil, entretanto, é apresentar os desafios já conhecidos para a execução das atividades.
Os principais desafios são, primeiramente, identificar e apontar todos os itens relevantes das questões pertinentes à segurança das informações, que preservam seus ambientes e, por conseguinte, os dados sigilosos dos seus clientes. Depois é avaliar o nível de maturidade das pessoas frente às necessidades e criar políticas complementares às já determinadas pela aplicação da segurança tendo por base a ABNT NBR ISO/IEC 27002. Tais políticas são complementares para o atingimento da norma. Procedimentos específicos para a tratativa das ocorrências e a consequente criação de processos também são exigências da norma.
O prazo para a realização do projeto, portanto, pode variar de 6 meses, se as ações de segurança estiverem todas cumpridas, até 18 meses, caso necessite implementar a segurança, ponto vital para a ação posterior das demandas com as quais as ações de segurança se fazem necessárias.
O fundamental é que você entenda que é possível atuar nesta realidade. Não se trata de lei impossível de atingir resultados. Ao contrário, ela é pertinente e atua na proteção, inclusive, dos seus dados, usados por toda a sorte de empresas no mercado. Desde Bancos, Telecoms, serviços de aplicativos públicos, órgãos governamentais, entre muitos outros.
Como podemos ajudar?
Em tudo; iniciando pelo processo de Gap Analysis, ou identificação de gaps para a descoberta dos itens não realizados ou não evidenciados, depois buscando implantar tecnologias, modelos e processos para cada atividade e potencial de execução. A partir da solução dos itens não realizados inicialmente podemos ajudar na criação do Manual de Segurança da Informação para a formalização dos itens, organizando os modelos e convergindo as linguagens de modo a permitir que se tenha sucesso na criação da base, posteriormente abordando-se os requisitos específicos da Lei.
Também podemos atuar nos treinamentos e procedimentos de capacitação inerentes ao processo, pois o elo mais fraco de qualquer projeto de segurança ainda é o ser humano; neste caso, qualquer profissional atuante na empresa, seja ele empregado ou terceirizado, que deve possuir conhecimento referente às questões da Segurança, entendendo que tal conhecimento deve, primeiramente, fazer sentido para ele, como pessoa física, para que depois entenda que a ação de segurança na empresa em que atua depende também dele e não só dos técnicos de TI, profissionais de segurança e diretoria (o que é bastante comum no mercado brasileiro e latino-americano).
Segurança – Nós sabemos fazer!
