LGPD muda forma de acesso e governança da Informação

0

A Lei Geral de Proteção de Dados – conhecida como LGPD – foi aprovada este ano pelo presidente Michel Temer em 14 de agosto de 2018, e só entra em vigor a partir de fevereiro 2020 – e as empresas brasileiras têm pouco mais de um ano para adaptar práticas, políticas e sistemas para adequar-se à nova lei.

Um dos aspectos mais relevantes e mais complexos é, sem dúvidas, o acesso aos dados internamente. E uma das mudanças trazidas pela LGPD é justamente a classificação das informações internamente – quem tem acesso às informações da companhia. De fato, isso é crucial: um estudo publicado pela Intel esse ano apontou que ao menos 43% do vazamento dos dados acontece por conta de falhas de segurança envolvendo o acesso de usuários internos –cerca de metade deles é acidental.

O problema é que a estratificação e a classificação da informação por níveis de acesso ao usuário ainda são novidade por aqui. Muitas organizações ainda fazem esse controle manualmente – e com o advento dos serviços na nuvem, o controle dos usuários ficou ainda "solto".

A principal mudança é que a nova lei vai exigir um controle rigoroso sobre os dados pessoais que as empresas armazenam – e isso demandará que a classificação das informações hoje seja revista do ponto de vista dos dados pessoais.

Como as empresas brasileiras estão encarando o LGPD

Da nossa prática diária, observamos que muitas organizações estão deixando para iniciar as mudanças exigidas pela lei no próximo ano. Existem aqueles que ainda não conhecem a legislação, e não sabem quais as adaptações e mudanças terão de fazer.

Uma coisa, porém, é certa: a nova legislação afeta profundamente a operação de muitas empresas – afinal, a organização vai precisar informar o motivo pelo qual está coletando informações pessoais, e classificar esses dados internamente de maneira a dar acesso somente àqueles autorizados.

Para se ter uma ideia, a nova legislação não afeta somente qual é o tipo de tecnologia que a organização vai utilizar para realizar o controle de acesso aos dados: exige também a criação de novos cargos, responsáveis pela guarda das informações, como o Data Protection Officer, que deverá ser o guardião e responsável pelo cumprimento da nova lei. Também prevê a criação de um Comitê de Segurança da Informação que deverá zelar pelos dados e analisar os procedimentos internos.

A lei também cria outras figuras que deverão ser responsáveis pelo tratamento dos dados: o Controlador –a quem competem as decisões sobre o tratamento das informações– e o Operador, responsável pelo tratamento dos dados – que podem ser pessoas físicas ou jurídicas, de direito público ou privado. Existe também a figura do Encarregado, que deverá atuar como um canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – um órgão independente, que deverá funcionar nos mesmos moldes que uma agência reguladora.

Um aspecto importante é que a LGPD não aplica somente às operações online, mas também às operações offline, ou seja, dados cadastrais armazenados, mesmo que não transitem em meios eletrônicos.

Ou seja, a complexidade da lei ultrapassa as barreiras da adequação técnica, e está diretamente relacionada à governança das informações e o direito do acesso aos dados – como a mídia tem ressaltado desde o início desta discussão, as multas são altíssimas, e o prejuízo em termos de desgaste de imagem da organização, maior ainda.

Carlos Rodrigues, VP Latam da Varonis.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.