A transformação digital e seus efeitos sobre a mídia
setembro 4, 2020Europ Assistance contrata Solutis
setembro 16, 2020Há alguns dias, o Senado Federal aprovou finalmente a LGPD, Lei Geral de Proteção de Dados, que regula o tratamento de dados pessoais dos brasileiros, incluindo os acessados e compartilhados na internet. Quais os impactos da LGPD aprovada nos serviços e na jornada CLOUD é uma das perguntas a serem respondidas a partir de já. A Lei ainda gera polêmicas. O Planalto publicou um decreto criando a Autoridade Nacional de Proteção de Dados, que já está sendo questionada no Congresso.
De qualquer forma, assim que sancionada e eliminadas essas querelas, a LGPD passará a vigorar o país, com a ressalva de que as sanções ao seu descumprimento – entre elas, a multa de até 2% do faturamento de empresas, limitados a R$ 50 milhões -, passam a valer apenas em agosto do ano que vem.
Com a aprovação e a vigência da Lei, algumas mudanças e adaptações devem acontecer no ambiente digital das empresas para cumprir as exigências e evitar danos de imagem e financeiros. Podemos considerar dois aspectos mais importantes. O primeiro aspecto é quanto à transparência da coleta, armazenamento e utilização daqueles dados. As empresas que coletam dados deverão justificar e deixar claro porque estão coletando aqueles dados e para que serão usadas.
O segundo aspecto é a determinação da LGPD de obter o consentimento do usuário para utilização dos dados já no primeiro contato dele e permitir a revogação desse consentimento a qualquer tempo.
E como a LGPD afetará a CLOUD?
Primeiramente será preciso dar uma investigada nos contratos, termos de uso, políticas de segurança e políticas de privacidade. Muito serviços Cloud não estão baseados no Brasil e, assim, será preciso um “de-para”, uma vez que muitas dessas empresas não estão submetidas à legislação brasileira. Ou seja, verificar se estão em acordo com as regras.
A questão contratual é apenas um reflexo dos cuidados técnicos que você precisa observar na sua nuvem, seja ela pública ou privada. A tônica é aumentar a proteção para evitar a exposição de dados. Monitorar, gerenciar riscos, gerenciar incidentes, aumentar segurança e privacidade.
CLOUD e LGPD na prática
A Cloud é uma grande aliada para atender aos requisitos da LGPD. Existem alguns cuidados e iniciativas que vão ajudar nisso.
Antes da jornada, o Mapa da Cloud
Em verdade, não é um Mapa da Cloud, mas do fluxo de dados na empresa. É preciso entender os caminhos percorridos por dados na sua organização, da coleta do dado ao uso. E mais: o que é coletado, como é tratado e enriquecido, como é armazenado e acessado ou compartilhamento. Nesse estudo, é preciso verificar aquilo que está, pode ou deve ficar armazenado em nuvem e criar também uma matriz de risco com um plano de contingenciamento.
Prepara-se contra ciberataques
Não há motivo para pânico. A Cloud é sua maior aliada, nesse sentido. Grandes provedores de Cloud, como Amazon, Google, Huawei e Microsoft mantém as mais avançadas soluções de segurança. Além disso, alguns dos melhores profissionais de segurança da informação compõe a tropa de choque desses provedores. Outro aspecto é que uma empresa, como a Solutis, pode oferecer o assessment para avaliar suas necessidades, escolher o melhor provedor e definir a arquitetura de proteção para sua Cloud.
Mantenha rigor no controle de acesso
É possível que os maiores riscos de vazamento de informações para a maioria das empresas estejam dentro de casa. Nem toda perda ou vazamento de dados é decorrente de ataque externo. Nem sempre quem tem acesso tem só boas intenções. Segundo a LGPD, as empresas devem adotar medidas para não causar nenhum tipo de dano aos titulares – divulgação indevida, adulterações, etc.
Isso demanda boas políticas de acesso com rigor das permissões, controle de horários de acesso e proteções para autenticações.
Prepare a todos na empresa
É preciso criar o arcabouço institucional – códigos de conduta, política de privacidade, política de segurança termos de uso e preparar todos na empresa. Suas interfaces com o mundo exterior também precisam estar adaptadas: obter autorizações para uso de dados de seus usuários e clientes, permitir também o cancelamento de consentimentos.
Defina sua força tarefa de Compliance
Sim, é preciso. A lei prevê a criação de um Data Protection Officer (DPO). Ele é o encarregado de exercer essas atividades de adequação e manutenção das proteções previstas na LGPD, pode ser uma pessoa física ou jurídica. Essa pessoa e equipe devem estar preparados também para tratar incidentes, inclusive comunicar aos órgãos fiscalizadores (ANPD – Autoridade Nacional de Proteção de Dados, Procon etc.) e à imprensa.
Enfim, passamos aqui por um roteiro de forma bem simplificada. A adaptação exige algum esforço e planejamento. O foco é estar protegido para evitar incidentes e poder contar com processos, pessoas e ferramentas forneçam respostas rápidas e precisas.
Não é muito lembrar que, há muito, o usuário, o consumidor está empoderado. A LGPD não é somente um instrumento de proteção desse cidadão-consumidor, mas também uma extensão adicional de poder. Agora, de forma mais eficaz e explicita, o poder de controlar seus dados pessoais e sua privacidade.