Então, como se ajustar ou criar compliance de Proteção de Dados neste ambiente da LGPD (Lei Geral Proteção de Dados)? LGPD Compliance Proteção de Dados será promulgada no ano que vem. Assim sendo, as empresas aproveitando experiência de compliance com a similar promulgada na Europa (GDPR), adiantam preventivamente o processo aqui no Brasil.
Como a LGPD vai impactar o ambiente e a relação entre as empresas e clientes? Sobretudo como isto vai impactar no meio jurídico, com advogados e promotores agindo de forma ativa para defender o direito de privacidade dos clientes e usuários?
LGPD Compliance Proteção de Dados
Embora a responsabilidade seja clara, estar preventivamente se ajustando ao compliance da Lei Geral de Proteção de Dados pode influenciar em favor da empresa que acidentalmente tiver uma falha identificada.
Quais são as reflexões e atitudes a serem tomadas de imediato:
- Ler a LGPD e refletir que tipo de dados são tratados e como a lei vai impactar no negócio;
- Estabelecer um comitê de Segurança da Informação multidisciplinar;
- Dimensionar os impactos e avaliar a análise de risco do negócio diante deste compliance da Proteção dos Dados;
- Planejar
- Ações emergenciais diante do Mapa de Risco;
- Recorrentes ações de acompanhamento e auditoria;
- Treinamentos para os diversos setores
- RH
- Comercial
- TI – Banco de Dados
- TI – Desenvolvimento – Aplicação
- Executar e acompanhar de forma continuada o processo de segurança da informação
Que tipo de punição pode ocorrer:
- Multa financeira
- Suspensão da operação da empresa
Suspensão da operação da empresa é uma realidade e realmente pode acontecer.
Um exemplo que pode impactar uma empresa como hospital. Setor de saúde, onde um colaborador, se permitir vazar um dado, uma imagem, pode comprometer toda a unidade. Pode eventualmente fechar temporariamente o hospital.
Talvez provavelmente, um HOSPITAL como é um provedor público, não sofra as consequências. Mas se for privado? Se não for um hospital e sim uma clínica que não tenha este apelo popular de funcionamento pode ser fechada temporariamente.
Alguns setores vão ser mais impactados que outros. Assim quanto antes iniciar o processo de ajuste, de avaliação dos riscos e tomada de atitude melhor.
Um setor que terá muito impacto é a TI (Tecnologia da Informação) ou setor de informática. Sem uma cultura de segurança, sem uma cultura de auditoria e monitoramento poderá estar, sem saber, falhando com o compliance e colocando a empresa em risco de punições e quebra de confiança diante do mercado.
Assim uma boa reflexão passa a ser:
- Acesso de usuários na empresa, na rede e na aplicação da empresa (gestão);
- Gestão de segurança de acesso aos dados e arquivos, como segmentar;
- Gerir a contingência dos dados, assim numa eventual falha dos sistemas como dimensionar o tempo parado;
- Backup / Restore
- Falta de energia
- Queima de um servidor
- Queima de um ativo de rede
- Gestão de terceiros, em suporte, com acesso ao ambiente da TI;
- Políticas de Segurança da Informação
- Anti Vírus
- Anti Spam
- Senha forte e complexa
- Segmentação de usuário conectado a aplicação
- Auditoria
- usuário ADMIN com a senha ADMIN
Assim a TI será parte importante nesta questão. Seja por apoiar as questões de gestão e auditoria. Seja para relatar e facilitar acesso para identificar eventuais falhas de segurança, ou quebra dos protocolos de segurança.
Atualmente temos uma questão que nem é ainda da Lei Geral de Proteção de Dados e que já pune uma operação normal e importante nas empresas. O serviço de mensageira, diante de uma quebra de regras de compliance, pode através da uma inscrição em “BlackList” comprometer o envio e recebimento de mensagens.
Este processo representa bem o que a LGPD vai representar para todo o contexto da empresa. Por certo é um micro contexto, limitado no serviço de e-mail. Uma vez que a empresa teve seu domínio inscrito na BlackList terá bloqueado o envio e eventualmente até o recebimento de mensagens.
Embora pareça que o serviço de e-mail vem deixando de ser utilizado. O que é apenas uma percepção, não uma realidade, o serviço de e-mail é importante e crucial para as empresas.
E-mails são utilizados para:
- Recuperação de senha, na opção de ter esquecido a senha atual;
- Recebimento de alerta para serviços de agenda e compra;
- Notificação de alteração de status de serviços monitorados como queda de luz, presença em ambiente controlado, alerta de alteração de temperatura e outros;
- Propaganda em Marketing Digital – Inbound Marketing;
- Mensagem trocadas por e-mail entre usuários
Diante da LGPD (Lei Geral de Proteção de Dados) empresas que tenham presença mundial estão se ajustando de forma preventiva. Isto mesmo, ainda antes da lei, no Brasil, entrar em vigor. A Europa já viveu está realidade há alguns anos. Por isto quem já possou, sabe das dificuldades e já inicia o processo de ajuste e compliance.
Algumas regras básicas que podem comprometer a condição de bloqueio do serviço de mensagem (E-mail):
- Fazer SPAM, ou seja, encaminhar mensagem em enormes listas;
- Mesmo não sendo SPAM, mas parecendo ser, o robô classifica como sendo;
- Encaminhar e-mail com vírus;
- Disparando com anexos executáveis, como arquivos de Word, Excel, Powerpoint e outros EXE;
- Não configurando as conformidades técnicas;
- Não tendo um certificado digital (Este ainda não é uma realidade, mas poderá chegar juntamente com a entrada em vigor da LGPD);
Então, mesmo ainda sem entrar em vigor, a questão de segurança já é importante. Principalmente se a INFORMÁTICA for uma questão fundamental da operação do seu negócio.
Como a Nota Fiscal é eletrônica, agora também o Cupom Fiscal é eletrônico e para ser executado, em tempo real, precisa de informática e internet. Informática considerando um computador, um aplicativo válido na Receita Estadual ou Federal e Internet de boa qualidade para disponibilizar acesso a receita e assim protocolar o cupom ou a nota fiscal.
Ainda, também, não sujeito as regras da NOVA Lei de Proteção de Dados, se um vírus atacar seu ambiente e criptografar todas as informações. Conhecido como Ransomware que uma vez instalado, criptografa os arquivos e pede um resgate para habilitar a chave de descriptografia. Uma condição que interrompe a operação da empresa. Sem acesso a informática, aplicação e dados como contas a receber, a pagar e faturamento. Ou sem acesso aos e-mails. Ou mesmo sem acesso aos arquivos de tabelas.
As regras da NOVA Lei de Proteção de Dados
Ainda que as condições de segurança já fazem parte do nosso dia a dia, agora com a proximidade de entrada em vigor, mas compliance será necessário. Sobretudo na cultura de acesso a informação de terceiros.
Primeiramente, nossa orientação é que as empresas tão logo estejam sensíveis as condições e riscos tomem atitudes de compliance. A saber, busquem profissionais que possam orientar para dimensionar o impacto e o que precisa ser feito para justar e tornar o ambiente mais seguro. Assim como, criem ambiente interno de reflexão do que precisa ser feito. Enfim, definam metas e prioridades para acompanhar e quando a lei entrar em vigor não sejam pegos de surpresa. Assim sendo, já implementem regras, para os riscos, ainda que não seja da LGPD, mas de Segurança da Informação que protejam os usuários, os dados e as informações relevantes para a operação das empresas.
As regras da NOVA Lei de Proteção de Dados
Embora a reflexão que a LGPD possa nem ser tão importante, mas se por uma questão de falha no compliance, a empresa for punida nas condições de hoje, haverá prejuízo e complicações no fluxo de caixa.
Se a sua empresa hoje, antes da LGPD entrar em vigor, for:
- Incluída em blacklist – ficando sem poder encaminhar mensagens ou alertas, ou notificações por e-mail, estando bloqueada de enviar e eventualmente receber;
- Incluída no Reclame Aqui – ficando com a imagem comprometida diante do mercado;
- Ter sua base de dados criptografadas e sem acesso aos computadores e informações para operação do dia a dia;
Quando a LGPD entrar em vigor poderá:
- Ser multada;
- Ter suspensa sua operação por força de lei;
- Ser bloqueada pelo usuário de conectar, fazer marketing e até negociar com este usuário;
Portanto, como condição de primeira avaliação, identificando o MAPA de RISCO para conformidades da 27002 ABNT, temos um questionário que engloba 11 itens e mais uma avaliação técnica: 12i – Certificação baseado na Norma ABNT 27002.
Porquanto, esta certificação vem comentada no post de 2017 – 12 valores que qualificam sua rede! Baseado na 27002 ABNT ISO/IEC!
Enfim, são 12 valores que podem dar um primeiro passo para definir as ações iniciais para se criar o processo de compliance a Lei Geral de Proteção de Dados (LGPD).
12 valores que qualificam sua rede!
Baseado na 27002 ABNT NBR ISO/IEC!
1 – Políticas existentes
2 – Ações e Atitudes implementadas (Segurança da Informação)
3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )
4 – RH
5 – Segurança física – Gestão de Ambiente
6 – Gestão de Contingência e segurança por aplicativos
7 – Ampliado – Gestão de Acesso
8 – Aplicação (Processo + Continuado)
9 – Incidente – Gestão
10 – Gestão de Continuidade
11 – Conformidades
12 – INDICCA.COM (Equipe com conhecimento para Segurança da Informação)
A lei então será promulgada em 2020. Os questionamentos talvez sejam analisados depois desta data. Então ficar aguardando pode ser uma opção? Será? Pensando que antes da punição jurídica, a internet, pode ainda antes da LEI estar em vigor, questionar via Reclame Aqui, Código do Consumidor e tantas outras formas que já estão valendo. Em outras palavras aguardar a lei e correr o risco do valor da marca ser comprometido na internet e assim no mercado. Então talvez seja PREVENTIVO iniciar o quanto antes.
Se a Lei vai acontecer, avalie algumas implementações que os especialistas estão reportando:
Due Diligence sobre dados pessoais
Pessoal; dados sensíveis; criança; público e Anonimizado.
Exposição da empresa a Lei Geral de Proteção de Dados
Auditoria sobre o tratamento
Compliance; Aderência as regras; Contratos; Termos e Políticas.
Gestão do conhecimento e Anonimização
Como atender possíveis solicitação do titular e da futura agencia
Gestão dos pedidos do Titular
Acesso; confirmação; anonimização; consentimento; portabilidade etc
Relatório de Impacto
Desenhar o relatório com as informações de gestão
Segurança dos Dados
Adoção das medidas de segurança
Governança do Tratamento
Regras de boas práticas
Ações educativas para mitigar riscos
Plano de comunicação – Incidente de Segurança
Protocolo de como comunicar aos responsáveis os orgãos
Validação do término do tratamento
Eliminação de dados que perderam o objetivo de manutenção e armazenamento
Certificação
Certificação pela auditoria
Data Protection Officer (Encarregado)
Quem será o responsável pelos dados
Prevenção de conflitos
Compromisso de mediação para mitigação do contencioso judicial