O que aprendemos com a GDPR?

Por Rogério Soares, Diretor de Pré-Vendas e Serviços Profissionais da Quest Software

Salvador, 10/02/2021 – Assim como a GDPR – General Data Protection Regulation (ou Regulamento Geral de Proteção de Dados) aplicada em território europeu, a Lei Geral de Proteção de Dados (LGPD), instituída em todo o território nacional, busca abordar a segurança e a proteção de dados pessoais utilizados por empresas ou organizações governamentais. Dada a maturidade dos europeus em lidar com regras de acesso a dados pessoais e à implantação de sua GDPR, foi natural a consulta e o uso como base para criação da nossa legislação sobre o mesmo tema. Apesar de diferenças distintas sobre identificação de dados pessoais, regras de comunicação de perdas de dados, regras de aplicação de multas e outros pontos, ambas exigem das empresas uma nova forma de buscar, reter e utilizar dados pessoais.

Assim como os legisladores brasileiros buscaram entendimento e inspiração na GDPR, é saudável e eficiente que empresas brasileiras busquem nas companhias europeias as melhores práticas para o cumprimento da lei. Isso quer dizer: buscar em todas as partes envolvidas (empresas do mesmo setor, fornecedores, empresas de segurança da informação, etc.) quais foram os processos de transformação que passaram, quais foram os pontos de sucesso e o que aprenderam com erros e até eventuais multas.

O processo de compliance à GDPR, bem como a manutenção do cumprimento das regras é desafiador. Compartilho algumas lições aprendidas com a experiência que tivemos no mercado europeu e que podem ser replicadas pelas empresas brasileiras.

– Comece pelos princípios: ambos regulamentos possuem requisitos que são básicos a qualquer perfil de empresa. Começar por eles permite que as companhias desmistifiquem o que faz e o que não faz parte dessa lei. Ou seja, conhecer quais os fundamentos da lei e onde a empresa deve chegar ao cumpri-la. Ao trabalharmos com nossos clientes europeus, fizemos sessões exclusivas para apresentação e debate dos princípios e esclarecimento de dúvidas.

– Defina a necessidade do Data Protection Officer (DPO): apesar dos claros benefícios, nem todas as empresas têm a necessidade desse profissional. Porém, essa definição deve ser imediata. Tivemos alguns clientes na Europa que, no princípio, nos falavam que ainda estavam definindo sobre ter ou não um DPO. Esta indefinição trazia aos envolvidos um caráter provisório, e definições importantes eram difíceis de serem tomadas por conta disso.

– Faça duas questões importantes: o que eu tenho? Os dados estão seguros? Quando clientes nos convidaram a ajudá-los em sua jornada ao compliance, sempre iniciamos fazendo estas duas perguntas. Ser capaz de respondê-las e nesta ordem é fundamental. A elaboração do plano deve começar pela capacidade de saber onde estão os dados pessoais e identificar se há dados sensíveis. Isto pode mostrar muito sobre como essas informações chegam à empresa, como estão armazenados e quem os acessa. Com isso, a segunda pergunta pode ser respondida. Os dados estão seguros? É fundamental o diagnóstico para poder trabalhar na segurança destes dados.

– Mude a cultura sobre os dados: os dados não precisam ser armazenados todos da mesma forma e estarem sob a mesma política. Classifique e isole dados sensíveis. É necessário que o dado hoje já existente seja distinguido entre o dado comum, dados pessoais e dados sensíveis. Assim, é possível recriar políticas de isolar, classificar e automatizar processos. Decisões de retenção, migração, atualização de bases e regras de acesso e segurança de perímetro devem fazer parte disso. Como é sabido, além dos riscos envolvidos, armazenar dados sensíveis será mais custoso do que é hoje em dia. Portanto, dados podem ser desnecessários. Conhecer empresas de segmento semelhante pode gerar insights sobre os dados necessários ou dispensáveis.

– Aprenda com as falhas: falhas e ataques já ocorreram e contra medidas devem estar estabelecidas. Entender falhas que ocorreram pode permitir que ações sejam definidas. É importante estabelecer planos para proteção de dados, com criptografia e monitoramento de ambiente. Ações conjuntas de segurança são fundamentais para o sucesso.

– Tenha um plano para o pior: um bom plano de contenção deve ter uma rápida detecção de falhas e o mais cedo possível deve emitir um alerta interno que chegue às pessoas corretas. Além disso, um plano de ação após detecção de falhas com tópicos básicos deve ser posto em prática. Dentro do prazo legal, avise a autoridade de proteção de dados notificando o escopo da falha e o plano de medidas a serem tomadas. Em uma frente de ação, execute atividades para recuperar o ambiente e reestabelecer sem falhas. Na outra frente investigue a causa-raiz e impactos. Execute o plano de comunicação durante todo o processo. Com a causa-raiz estabelecida, adote medidas preventivas. Um evento de falha só deve ser considerado como finalizado quando as medidas preventivas para combater a causa-raiz esteja estabelecida.

Últimas notícias

Vagas de TI
NAVA tem mais de 100 vagas de trabalho em aberto

Salvador, 18/04/2024 – A NAVA Technology for Business, empresa que fornece serviços e soluções de tecnologia, está ampliando sua oferta de vagas e, atualmente, tem mais de 100 posições abertas para atuação em São Paulo, Belo Horizonte, Curitiba, Maringá, Barueri e Osasco (modelo híbrido) e outras para atuação 100% remota, considerando profissionais de todo o […]
Dança da Cadeiras
Alexandre Tannous é o novo CTO da Accesstage

Executivo acumula mais de 25 anos de experiência e passagens por grandes empresas do mercado Salvador, 18/04/2024 – Especializada em tecnologia para pagamentos B2B e gestão financeira das empresas, a Accesstage estipulou metas agressivas para este ano de 2024. Uma delas é o crescimento de 120% e o atingimento de R$ 5Bi em recebíveis antecipados […]
Negócios
Senior Sistemas é certificada pela Great Place to Work pelo 7º ano consecutivo

Companhia reforça a importância do crescimento sustentável, impulsionado por um trabalho organizacional voltado para competências e pelo comprometimento dos mais de 2 mil colaboradores Salvador, 18/04/2024 – Somando mais de 35 anos de atuação no mercado de tecnologia para gestão dos negócios, a Senior Sistemas é hoje uma das principais empresas do Brasil quando o […]
Negócios
SEK anuncia aquisição da PROOF

Salvador, 18/04/2024 – A SEK (Security Ecosystem Knowledge), provedora de soluções e serviços de cibersegurança voltados a apoiar as empresas a lidar com ameaças digitais complexas, anuncia a aquisição da PROOF, empresa referência no mercado de Segurança da Informação, com ofertas de Serviços Gerenciados de Segurança (MDR – Managed Detection and Response) e Consultoria (governança […]
Artigos
Produção fabril do futuro: Microsoft anuncia inovações de IA para a indústria que vão desde soluções para nuvem até produção final

Por Kathleen Mitford – CVP, Indústria Global da Microsoft Salvador, 18/04/2024 – Após anos de incerteza, com a diminuição da produção na cadeia de suprimentos e o aumento das expectativas dos clientes, até mudanças na demanda do consumidor e escassez de mão de obra, a manufatura continua sendo uma das indústrias mais resilientes e complexas. […]

Menu