A 3a edição do Data Protection Forum, realizado nesta quarta-feira, 4, teve como principal tema as consequências da entrada em vigor da Lei de Proteção de Dados Pessoais (LGPD), sancionada recentemente, com objetivo de dar uma visão abrangente sobre sua implantação, pois muitas empresas ainda subestimam os esforços necessários e estão em dúvida sobre quais os melhores caminhos para garantir o compliance, tanto do ponto de vista de tecnologia como jurídico.
O painel inicial contou com participação de um dos mais respeitados especialistas sobre proteção de dados e privacidade, Danilo Doneda, doutor em Direito pela UERJ, que teve participação ativa na criação da LGPD; com Gustavo Artese, sócio de Viseu Advogados e Fundador do Fórum Equidata; e Paulo Lilla, responsável pela área de Tecnologia, Proteção de Dados e Propriedade Intelectual de Lefosse Advogados, que discutiram sobre o processo de adoção das exigências da LGPD, que que não deve ser encarado apenas como uma corrida de obstáculos para se cumprir as exigências da legislação, mas uma iniciativa contínua e permanente, com ações alinhadas entre as áreas de tecnologia e jurídica.
"Perdemos meses com a discussão quanto a entrada ou não da entrada em vigor da lei quando podíamos estar discutindo proteção de dados em si", diz Danilo Doneda, "Agora, com as novas regras já valendo, as empresas precisarão correr para se adequar às novas exigências —como enviar e corrigir informações de cadastro a pedido dos usuários", lembrou Doneda.
Segundo ele, a adaptação à LGPD é um processo constante, e as empresas terão que levar isso em conta em seus serviços e atividades. Além da adequação pelas empresas, outro desafio no momento são as punições em caso de desrespeito à lei que ainda não estão valendo, já que o órgão responsável por fiscalizar as regras não foi plenamente estabelecido.
"Como forma de atender aos pedidos das empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Até lá, espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja estruturada, sendo responsável por regular a lei, elaborar instruções para o cumprimento de suas normas e fiscalizar o cumprimento", disse o jurista.
Doneda alertou ainda que enquanto se espera o marco regulatório da lei, apesar de fragmentado, é preciso estarmos atentos para não transformar a Lei num mero "checkbox". "É preciso reconhecer que a legislação visa a nossa própria segurança e mesmo que aconteça em doses homeopáticas, deve-se investir no amadurecimento da comunidade, a fim de aumentar esta conscientização."
Para Paulo Lilla, embora ainda não haja este amadurecimento, muitas iniciativas têm sido tomadas por parte das empresas que tem como modelo a legislação europeia, assumindo-a como padrão. "Há de se evidenciar que a aplicação da lei não se deve restringir ao aspecto gerencial das companhias, mas que ela se estenda aos cidadãos a consciência de que a segurança das informações pessoais são vitais para o bom desempenho das economia de forma geral", ressaltou.
Conforme Gustavo Artese, a LGPD dentro do espaço jurídico deve ser vista como um instrumento em evolução, visto que as iniciativas ocorrem em outros países desde 1950. "Embora esta matéria se sobreponha, a regulação é uma grande novidade no Brasil. Temos exemplos das lições aprendidas em outros países ao colocá-la em prática, mas como todo regulatório deverá estar em constante atualização principalmente para recobrar o tempo perdido, com muitos pontos a serem detalhados e por isso a importância de se trazer ao debate a fim de possibilitar sua evolução".
Vulnerabilidades
Conforme descrito no artigo 5 da LGPD , o Relatório de Impacto à Proteção de Dados Pessoais visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
"A análise de vulnerabilidades é um processo que existe para reconhecer, analisar e classificar falhas relacionadas à segurança de um ambiente. Dessa forma é possível entender os pontos fracos na segurança e a partir daí estabelecer as medidas necessárias a serem implementadas para a segurança da informação em todo ambiente organizacional", disse Edson Gaseta, consultor em segurança cibernética, Kryptus, ao abrir a segunda apresentação da 3a edição do Data Protection Forum.
"As vulnerabilidades são as fraquezas dos sistemas, que podem ser exploradas em ataques pelos agentes de ameaça. Quando isto acontece, uma ameaça se torna um incidente de segurança como acesso ilegítimo aos dados pessoais, modificação destes dados ou mesmo a perda deles e se mostra como um dos grandes danos a que as empresas estão sujeitas", disse o especialista.
Conforme afirmou Gaseta, a análise dos relatórios de riscos deve obedecer a duas etapas distintas. A primeira etapa para se implementar os controles e a segunda para se determinar os processos e procedimentos preditivos e preventivos.
"A análise de riscos é uma das melhores ferramentas que um negócio pode empregar para aumentar a segurança. As análises de vulnerabilidade identificam, quantificam e priorizam o que há de mais frágil nos seus sistemas, a fim de tornar sua segurança mais robusta. E, embora sejam tradicionalmente executadas em ambientes de TI, elas não se limitam a essa aplicação, especialmente agora que as vulnerabilidades de risco dos dados pessoais estão sob o foco da LGPD", explicou.
Mas o que acontece quando há o acesso ilegítimo dos dados, a modificação deles ou mesmo sua perda? "Uma das obrigações das empresas inseridas no bojo da LGPD é a elaboração do Relatório de Impactos à Proteção de Dados. Este documento consiste na análise dos impactos dos dados pessoais em uma organização. É por meio de uma análise de riscos que se inicia este processo, com o levantamento das ações e prioridades e num segundo momento determinando os procedimentos considerando-se os processos, os fluxos dos dados pessoais na organização, por onde os dados entram, qual o caminho que percorrem e qual o destino deles", disse o especialista.
Como aconselha o especialista da Kryptus, a chave é entender o tipo de risco que o negócio está predisposto e como pode ser evitado e quais são as ferramentas mais eficazes para isso. "Uma análise de risco efetuada com as ferramentas adequadas podem mitigar as vulnerabilidades e dessa forma ajudar o negócio a evitar problemas no futuro. Para isso, a sincronização entre todas as áreas envolvidas e o constante controle dos processos pode levar as companhias a terem um entendimento maior da responsabilidade de lidar com dados tão sensíveis e que podem inferir na vida das pessoas de forma geral ", concluiu.
Gestão de Riscos em Proteção de Dados Pessoais
A LGPD trouxe os direitos dos usuários e os deveres das organizações, envolvendo diversos aspectos na jornada dos dados na organização, tais como a coleta, o armazenamento, a divulgação e a eliminação desses dados.
Na sua apresentação sobre a Gestão de Riscos em Proteção de Dados Pessoais, Marcos Sêmola – sócio da EY para cybersecurity, lembra que o que chama a atenção diante do desafio da governança de dados pessoais é a grande quantidade de aspectos a serem observados nos programas de Compliance, tais como: gestão da privacidade, gestão da segurança da informação, gestão de riscos de privacidade, governança e gestão de dados, acrescentando, também, os relativos ao planejamento e à execução de ações de conformidade e avaliação da conformidade.
"O mais importante, é que esses aspectos devem ser tratados numa abordagem integrada, no âmbito de um framework de Compliance com a LPGD, de maneira a garantir que haja sinergia entre as iniciativas e programas a serem desenvolvidos".
Um aspecto interessante destacado por Sêmola na proteção dos dados pessoais é que a necessidade de se adaptar às novas obrigações legais, conceitos como: segurança, transparência e consentimento passam a ser o foco das atenções dentro do espectro de proteção de dados.
Seguindo por esse caminho, conforme disse o executivo da EY, as atuações do DPO e do CISO se sobrepõem em camadas de atuação no trato dos dados, entretanto como ele diz, ambos irão se aperfeiçoar para cumprir suas funções conforme o amadurecimento no trato com a legislação for avançando.
"Neste aspecto, é necessário que ajustes sejam feitos, já que por postura cultural latino-americana e de acordo com as especificidade de cada indústria, não houve uma adaptação prévia a LGPD e foram todos pegos de surpresa com a promulgação da legislação, não se planejando para tanto e que demonstra uma certa imaturidade do mercado brasileiro no tocante à governança dos dados pessoais", complementou o executivo.
No entanto, como reforçou Sêmola, diante do cenário conturbado antes da promulgação da lei, e sem as devidas regulamentações, há um estado momentâneo de incertezas. "Mas isso tudo é provisório, na verdade o que a legislação espera do mercado é que haja uma mudança cultural com uma abordagem voltada ao humano e com blindagens e responsabilidades mais discriminadas", lembrou ele.
"Como não há como acelerar esta jornada, cujo crescimento será orgânico, entra em cena a ideia de Privacy ( ou Security) by Design ou Privacy by Default que é a premissa de incorporar salvaguardas de privacidade e dados pessoais, em todos os projetos desenvolvidos, de forma que não seria permitido desenvolver nenhum projeto, produto ou serviço, sem que a proteção da privacidade esteja no centro desse desenvolvimento , a fim de mitigar os riscos da atividade", assegurou
Para Sêmola, não há privacidade sem segurança, ou linha de defesa sem um sistema de gestão. "Esta sincronicidade forma um novo sistema operacional que precisa ser controlado e o risco aferido", sentenciou. " Como não existe um modelo certo ou errado para tanto, as empresas precisam adequar às novas regras, assim como o escopo de atuação dos DPO's e CISOs, no que se refere a questões técnicas e jurídicas, que também irá se aperfeiçoar com o tempo. Assim, faça o que for necessário e deixe o ajuste fino para a jornada".
Trabalho remoto com segurança
No painel – Estratégias de TI para habilitar o trabalho remoto com segurança, resiliência e simplicidade de gestão – Leonel Oliveira, diretor da Nutanix para o Brasil trouxe como palestrante o diretor de tecnologia da Stefanini Latam, Paulo Wagner, para contar sobre a experiência da companhia durante este período de pandemia.
Como contou o diretor de tecnologia da Stefanini, a jornada da empresa se iniciou na procura de uma solução de mercado que ajudasse a simplificar o ambiente de TI que mostrasse também a resiliência necessária para atender os ambientes híbridos de TI onde a empresa atua, diante do novo cenário de afastamento social, imposto pela pandemia, que levou a companhia a determinar o trabalho Home Office para seus colaboradores.
"Encontramos na plataforma da Nutanix a resposta que atendeu nossa demanda, visto que o Grupo precisava se posicionar rapidamente interna e externamente para continuar ser competitivo e flexível", ressaltou Wagner.
"Nos últimos meses, o mundo vivenciou uma transformação comportamental diante da necessidade de virtualização dos negócios. Houve um aumento na busca por soluções que utilizem nuvem e infraestrutura hiperconvergente, que venham facilitar a gestão e reduzir custos, mais ainda neste momento em que todo o mundo precisava migrar para o ambiente remoto, oferecendo simplicidade na adoção da tecnologia e visando a continuidade dos negócios. E foi isso que o grupo Stefanini fez", reforçou Leonel Oliveira, diretor-geral da Nutanix no Brasil.
No caso da Stefanini havia o desafio do Grupo ter várias empresas, com uma diversidade de negócios, e onde se buscava uma solução que tivesse como atributos essenciais a segurança e a transparência. "Como os ambientes de trabalho da Stefanini são eminentemente tecnológicos a estratégia de uso de nuvem em modelo híbrido promoveu a possibilidade da continuidade do trabalho com acuracidade e simplicidade"`, ressaltou Wagner.
Para Leonel Oliveira o diferencial de mercado oferecido ao caso da Stefanini foi a constante preocupação em montar plataformas de software focadas no uso intuitivo e voltadas para as aplicações do cliente.
"A Nutanix proveu a tecnologia onde a usabilidade fosse a mais intuitiva possível e com grande capacidade de resiliência. a fim de assegurar que as aplicações continuassem no ar o tempo todo conforme e sem danos aos consumidores finais ", reforçou o executivo da Stefanini.
Conforme disse Paulo Wagner há uma tendência de muitos dos colaboradores da empresa continuarem o trabalho em Home Office, orientação acelerada pela pandemia, mas com uma característica mais heterogênea possibilitando que aqueles que precisem estar no escritório o façam. "Mas isso ocorrerá com ajuda da tecnologia que permite essa flexibilidade, ampliando ou reduzindo seu escopo conforme as necessidades se apresentem ", finalizou.
[…] Fonte: TIINSIDE […]