A Lei Geral de Proteção de Dados – conhecida como LGPD – foi aprovada este ano pelo presidente Michel Temer em 14 de agosto de 2018, e só entra em vigor a partir de fevereiro 2020 – e as empresas brasileiras têm pouco mais de um ano para adaptar práticas, políticas e sistemas para adequar-se à nova lei.
Um dos aspectos mais relevantes e mais complexos é, sem dúvidas, o acesso aos dados internamente. E uma das mudanças trazidas pela LGPD é justamente a classificação das informações internamente – quem tem acesso às informações da companhia. De fato, isso é crucial: um estudo publicado pela Intel esse ano apontou que ao menos 43% do vazamento dos dados acontece por conta de falhas de segurança envolvendo o acesso de usuários internos –cerca de metade deles é acidental.
O problema é que a estratificação e a classificação da informação por níveis de acesso ao usuário ainda são novidade por aqui. Muitas organizações ainda fazem esse controle manualmente – e com o advento dos serviços na nuvem, o controle dos usuários ficou ainda "solto".
A principal mudança é que a nova lei vai exigir um controle rigoroso sobre os dados pessoais que as empresas armazenam – e isso demandará que a classificação das informações hoje seja revista do ponto de vista dos dados pessoais.
Como as empresas brasileiras estão encarando o LGPD
Da nossa prática diária, observamos que muitas organizações estão deixando para iniciar as mudanças exigidas pela lei no próximo ano. Existem aqueles que ainda não conhecem a legislação, e não sabem quais as adaptações e mudanças terão de fazer.
Uma coisa, porém, é certa: a nova legislação afeta profundamente a operação de muitas empresas – afinal, a organização vai precisar informar o motivo pelo qual está coletando informações pessoais, e classificar esses dados internamente de maneira a dar acesso somente àqueles autorizados.
Para se ter uma ideia, a nova legislação não afeta somente qual é o tipo de tecnologia que a organização vai utilizar para realizar o controle de acesso aos dados: exige também a criação de novos cargos, responsáveis pela guarda das informações, como o Data Protection Officer, que deverá ser o guardião e responsável pelo cumprimento da nova lei. Também prevê a criação de um Comitê de Segurança da Informação que deverá zelar pelos dados e analisar os procedimentos internos.
A lei também cria outras figuras que deverão ser responsáveis pelo tratamento dos dados: o Controlador –a quem competem as decisões sobre o tratamento das informações– e o Operador, responsável pelo tratamento dos dados – que podem ser pessoas físicas ou jurídicas, de direito público ou privado. Existe também a figura do Encarregado, que deverá atuar como um canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – um órgão independente, que deverá funcionar nos mesmos moldes que uma agência reguladora.
Um aspecto importante é que a LGPD não aplica somente às operações online, mas também às operações offline, ou seja, dados cadastrais armazenados, mesmo que não transitem em meios eletrônicos.
Ou seja, a complexidade da lei ultrapassa as barreiras da adequação técnica, e está diretamente relacionada à governança das informações e o direito do acesso aos dados – como a mídia tem ressaltado desde o início desta discussão, as multas são altíssimas, e o prejuízo em termos de desgaste de imagem da organização, maior ainda.
Carlos Rodrigues, VP Latam da Varonis.