.webp "Avanços na Inteligência Artificial")
.webp "Cibersegurança na TI")
Ter uma equipe multidisciplinar para acompanhar as mudanças é a principal ação.
Em setembro de 2018 foi sancionada a Lei Geral de Proteção de Dados (LGPD), que alterou o Marco Civil da Internet no Brasil. Necessariamente entre em vigor no prazo de 18 meses, sendo que todas as empresas que coletam, processam e/ou armazenam dados pessoais, precisam se adequar.
Baseada na GDPR, sigla em inglês para General Data Protection Regulation - em tradução, Regulamento Geral de Proteção de Dados -, que é uma lei da União Europeia que introduziu novas normas sobre obrigações, responsabilidades, direitos e restrições sobre o fluxo de dados internacionais, a LGPD tem por objetivos principais aumentar a privacidade de dados pessoais dos brasileiros e o poder das entidades reguladoras para fiscalizar organizações no país.
Como a lei da União Europeia entrou em vigor em maio de 2018 e muitas das empresas brasileiras já tiverem que se adaptar, o processo provavelmente será mais facilmente absorvido. Mesmo assim, vale reforçar alguns princípios que a TI deve colocar em prática:
1 – Ter uma equipe preparada e informadas sobre os novos protocolos: não somente as equipes que lidam diretamente com a segurança de dados, mas todo o grupo que lida com TI, gerentes e líderes devem estar informados sobre as novas regras impostas pelas leis.
Uma das ações mais importantes é contar com especialistas no assunto, que saibam os processos dos regulamentos e onde eles podem impactar nas políticas da empresa.
Ao mapear claramente onde as diretrizes cruzam com a estrutura do negócio, será mais fácil agir de forma assertiva em situações pré-determinadas.
2 – Ter um plano de ação para entrar em conformidade: estabelecer um roteiro com as etapas a serem seguidas para cumprir as exigências são necessárias para organizar toda a equipe, a demanda do trabalho e distribuir as responsabilidades. E mais uma vez, incluir todos os profissionais da empresa no conhecimento da importância da proteção de dados dos clientes e no papel de cada um para evitar vazamentos.
3 – Listar os dados que merecem mais atenção: a empresa deve ter mais atenção com a utilização de dados pessoais, tais como dados de contas bancárias, endereços de e-mails, de IPs e qualquer tipo de detalhamento de informações pessoais confidenciais. Para essas informações específicas, vale pensar em uma solução diferenciada de armazenamento e segurança.
4 – Gerenciar obrigatoriamente os riscos de segurança: na prática, deve-se ter em mente a necessidade de gerenciar riscos e estabelecer como configurar as políticas de segurança para o negócio e seu mercado específico.
Especialistas têm indicados como requisitos necessários para a configuração dessas políticas a nomeação de um comitê ou uma equipe de proteção de dados, chefiados por um profissional diferenciado, que exerça função de análise de riscos além das que já executadas pelos profissionais de TI que compõem a equipe. Esse profissional seria uma espécie de “agente de riscos” relacionados a GDPR e a LGPD.
Ele poderá auxiliar na identificação e notificação de violações, cumprimentos de prazos e ferramentas que possam trazer mais segurança e agilidade quando o assunto é crime virtual, sobretudo ao relacionados a privacidade e proteção de dados.
5 – Mudança na governança: é basicamente uma questão de reorganização de processos e equipes de trabalho para construírem novos padrões, novas formas de lidar com as leis e suas exigências.
Enfim, as punições da LGPD são pesadas, assim como na GDPR e o ideal é que as empresas mostrem esforços para estarem adequadas. As advertências ou multas podem alcançar até 2% do faturamento da empresa no ano anterior até no máximo 50 milhões de reais e até mesmo a proibição total ou parcial das atividades da empresa, caso não tenha boas práticas comprovadas.
Muitos desses valores, dependendo do porte da empresa, podem falir um negócio. Melhor mesmo é estar adequado.
Escreva seu comentário