A nova Lei geral de Proteção de Dados (LGPD) está em vigor desde 18 se setembro de 2020 e só atingirá a eficiência esperada caso as empresas que por ela serão afetadas se adaptem de uma forma multisetorial, ou seja, amparadas por políticas, pessoas e processos consistentes no auxílio à proteção de dados.
No entanto, entre todas as mudanças que a regulamentação sobre proteção de dados trará, a divisão organizacional que precisa estar mais preparada é a responsável pela tecnologia. Em especial, ela precisará estar pronta para viabilizar as facilidades em controlar e monitorar o ambiente onde as informações trafegam e são armazenadas.
A principal premissa para a adequação à LGPD é a realização de um mapeamento dos dados pessoais e do ciclo de vida que eles terão em determinada organização. Deve-se, portanto, ter a capacidade de mapear as origens dos dados e de como eles estão armazenados, quem teve ou têm acesso a eles, se os dados são compartilhados com terceiros e quais riscos estão associados ao ciclo de vida dessas informações.
Tecnologia e a automatização serão componentes importantes, uma vez que a nova lei traz desafios de gestão e governança de proteção de dados, como: gestão de consentimentos (e respectivas revogações); gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente); gestão do ciclo de vida dos dados pessoais (data mapping & data discovery); e implementação de técnicas de anonimização, ou seja, a modificação ou remoção de dados que possam identificar uma determinada pessoa.
Sendo assim, parametrizações em sites, sistemas internos e externos, processos em ambientes virtuais ou até mesmo físicos necessitarão armazenar esta autorização. Por sua vez, o processo deve ser transparente para o titular.
Na área de infraestrutura, é importante destacar ferramentas e ações primordiais para a proteção destas informações e seu armazenamento. Temos que dar destaque ao firewall, uma das soluções de segurança mais importantes, que permite assegurar as informações através do monitoramento, restrição de IPs maliciosos, proteção de redes contra invasões e vazamento de dados. Ele também permite a conexão segura dos usuários (por meio de VPN?s), principalmente ao se tratar da intensificação do modelo home office.
Um cuidado essencial é com as estações de trabalho dos colaboradores, pois a maioria dos ataques e invasões ocorre por meio delas, seja em um e-mail em formato phishing, seja por um pendrive ou dispositivos externos infectados. Dessa forma, é fundamental possuir soluções de proteção de endpoints. Esta solução possui uma suíte completa com antivírus, antimalware, monitoramento e controle de dispositivos de armazenamentos móveis e inventário dos mesmos. O controle é centralizado em plataforma única facilitando as ações dos analistas de segurança.
Também estão previstas ações importantes como parametrização de múltiplos fatores de autenticação em sistemas, senha forte, implantação de criptografias de discos, implantação de DLP (Data Loss Prevention), além da revisão dos processos e políticas internas de segurança, conscientização e capacitação dos usuários.
Estes são apenas os primeiros passos, embora fundamentais, para garantir a segurança e proteção dos dados das empresas. Tais medidas refletem diretamente na adequação da LGPD e poderão evitar as pesadas multas que a nova legislação prevê, além de preparar as organizações para o futuro.
Rafael Zanin, especialista em tecnologia do Reis Advogados, especial para a ReisNews