No último dia 26 o Senado Federal aprovou de forma unânime a MP 959/2020 com a remoção do artigo que prorrogava o início da vigência da Lei Geral de Proteção de Dados (LGPD) para 1º de janeiro de 2021. Com isso a LGPD entrará em vigor em no máximo 15 dias, que é o prazo para sanção presidencial. Sua empresa esta pronta para uma auditoria relacionada a LGPD?
Mas e agora?
Com a vigência da lei, as empresas deverão demonstrar estar em compliance com a legislação tendo responsabilidade sobre qualquer dado pessoal que a organização tenha controle.
Auditoria LGPD
Para chegar ao nível desejado pela LGPD, não é uma tarefa fácil, então se você não se preparou nos últimos 2 anos, é hora de correr contra o tempo para auditar e identificar as lacunas que a sua empresa precisa cobrir para não correr riscos.
Agindo
Sua empresa precisará agir em pelo menos 3 pilares internamente para começar os ajustes, são eles: Jurídico, Processos e Técnico. Essas 3 áreas deverão trabalhar em conjunto buscando o bem comum dentro da empresa, seja garantindo como a informação física é tratada dentro das salas e mesas do seu escritório, até quem deve ter o poder de acesso a um arquivo com dados sensíveis.
O oficial de proteção de dados
A empresa que buscar a legalidade, precisará de uma interface entre os titulares dos dados e a própria empresa. Essa é uma das funções do oficial de proteção de dados, o DPO.
O DPO está no limite para garantir que uma empresa esteja em conformidade com os objetivos da lei. Isso inclui a defesa dos dados pessoais, autorizando fluxos de trabalho específicos que permitem o acesso a dados, descrevendo como os dados retidos são anônimos e monitorando todos esses sistemas para garantir que eles trabalhem para proteger os dados privados dos clientes.
A parte técnica
O departamento de T.I das empresas terá um importante papel no processo de adequação a LGPD, inclusive na auditoria, já que grande parte dos dados pessoais são armazenados em servidores e sistemas, por isso será necessário manter o ambiente mais seguro do que nunca. Mas para ser mais eficiente na proteção, ferramentas podem se fazer necessárias para o dia a dia.
O grande objetivo é proteger os dados pessoais que estão em poder da organização, mas como saber a localização desses dados? Eles podem estar no servidor de arquivos central, no banco de dados, na nuvem… enfim, lugares não irão faltar, mas o importante é ter como localizar essas informações para voltar toda a proteção possível.
Identificação e classificação de dados
Se o objetivo é proteger os dados pessoais, e a equipe de T.I. não tem noção onde existe dados pessoais, a solução é uma ferramenta de identificação e classificação de dados. Ela irá apontar em qual local da infraestrutura de T.I. estão os dados pessoais, é de extrema importância que uma solução de classificação de dados possa varrer não só o ambiente local, mas serviços em nuvem também.
Protegendo os dados
Após a identificação dos dados, é hora de protegê-los de ameaças que possam causar riscos a organização. Podemos definir essas ameaças de diversas formas, por exemplo: um usuário que compartilhou um arquivo com pessoas externas ou um ataque externo com objetivo de extrair dados dos seus servidores.
Como já temos os dados pessoais e sensíveis identificados, fica mais fácil saber para onde devemos ter atenção.
Os dados armazenados localmente (como servidor de arquivos, banco de dados), precisam ser vigiados a todo momento, liberar o acesso apenas para as pessoas que realmente precisam ter acesso a esses dados, e mesmo assim ter a capacidade de saber quem teve acesso a esses dados, assim será possível rastrear uma possível falha humana no processo, ou até mesmo um ataque.
A auditoria na LGPD também precisa englobar os dados armazenados nos serviços em nuvem, inclusive com maior atenção pois o acesso muitas vezes se torna mais fácil quando depende apenas de um usuário e senha. A visibilidade de contas online é algo que até então não recebia muita atenção, mas deve mudar. Saber onde os usuários estão utilizando suas contas de serviços online (Microsoft 365, G Suite, AWS, GitHub etc) é importante para se proteger de possíveis vazamentos proporcionados por acesso a contas internas.
Protegendo o ambiente
A atenção não é apenas nos dados, o ambiente de T.I. também precisa de atenção redobrada, pois muitas vezes não há um gerenciamento adequado para alguns itens, como por exemplo usuários antigos (muitas vezes o funcionário deixou de ser parte da empresa, mas o usuário ainda está ativo, tornando assim uma brecha para ataques), usuários com excesso de permissão, arquivos abertos para qualquer usuário.
Requisição de acesso aos dados do titular
A LGPD permite aos titulares de dados total controle as suas informações, para isso precisa ser aberto um canal que possibilite os titulares questionarem quais
informações a sua empresa possui sobre eles. Criamos um artigo totalmente dedicado a esse assunto:
As requisições de acesso aos dados do titular (DSAR)
Enfim, a chegada da LGPD não é surpresa, mas se a sua empresa ainda não está adequada a lei precisa correr. Tenha em mente que não é uma tarefa simples, mas que há soluções que ajudarão bastante no caminho para adequação.
Nossos especialistas podem te ajudar a mostrar o caminho mais tranquilo para a sua empresa não correr riscos.
Esses links podem ser úteis
Webinar Auditoria e Compliance LGPD
Webinar Classificação de dados
TOP 12 soluções de segurança para proteger as suas informações sensíveis
Privacidade de dados: Por que eu devo me preocupar com isso?
