por Fernando Henrique Zanoni | 4 fev 2019 | Artigos
A Série “LGPD na Prática” continua a todo vapor.
Se em capítulos anteriores foi possível apontar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), qual a melhor forma para implementar e manter uma estrutura de governança de dados, como preservar um inventário de dados pessoais e mecanismos de transferência, de que maneira deve-se executar uma política de privacidade, como a nova regulamentação influenciará nas rotinas e como cumprir um cronograma interno de treinamento e comunicação, neste sétimo artigo irei explanar de que modo deve-se gerenciar os riscos relacionados à segurança da informação, ou seja, como manter um sistema baseado nos requisitos legais e nas principais ameaças as quais a organização está submetida.
Quando tratei da manutenção de uma estrutura de governança de dados, logo no Capítulo Dois da Série, um dos pontos abordados foi a necessidade de realizar periódicas avaliações de riscos, visando criar uma cultura interna e aprimorar os controles e sistemas de segurança. Contudo, o que se percebe é que são poucas as organizações maduras o suficiente neste particular, o que dificulta o entendimento de como se preparar para as adversidades.
Nesse sentido, cito algumas medidas a serem adotadas para aperfeiçoar ou sofisticar o gerenciamento dos riscos:
1. Integrar o risco de privacidade de dados em avaliações de risco de segurança. Identificar de maneira precisa todas as ameaças e vulnerabilidades relacionadas ao negócio é um trabalho que está intimamente ligado à criação de um inventário de dados, tratada em capítulo próprio, ao mapeamento de acessos e de dispositivos ligados à rede de computadores de uma organização. Com a identificação de gaps e das áreas ou dos processos mais sensíveis dentro da infraestrutura de segurança da informação será possível estabelecer uma matriz de riscos específica, considerando impacto e probabilidade das principais ameaças para, posteriormente, integrá-la a uma matriz global.
2. Manter medidas técnicas de segurança visando evitar, neutralizar ou mitigar os riscos identificados. Conforme dito anteriormente, testes de detecção e prevenção de penetração, a serem realizados regularmente nos sistemas de TI, e de restauração do acesso a dados pessoais, no caso de eventuais violações, além da adoção de salvaguardas que evitem, neutralizem ou mitiguem riscos, considerando não só a segurança cibernética (rede, sistemas, dados), mas também a segurança física, relacionadas aos dispositivos, tudo adequado à complexidade das operações e a infraestrutura da organização. Neste particular, caso uma falha/vulnerabilidade seja descoberta, ela deve ser classificada e um plano de ação deve ser imediatamente proposto.
3. Manter medidas para criptografar dados pessoais. A criptografia é uma função que usa uma chave para codificar os dados para que apenas usuários com acesso a essa chave possam ler as informações, fornecendo proteção contra o processamento não autorizado ou ilegal de dados pessoais, contudo não pode ser usada em todo tipo de operação. Além disso, deve-se ter em mente que a própria conversão de dados pessoais de texto simples em texto cifrado representa um processamento, de modo que, ainda que criptografados, estes continuarão sendo regidos pela LGPD. Ademais, o bom gerenciamento das chaves de codificação é fundamental, do contrário o sistema de segurança não será efetivo. Recomenda-se, no caso de adoção dessa proteção, que sejam criadas diretrizes, como uma política ou procedimentos específicos, determinando que tipo de dados devem ser criptografados e/ou protegidos com uma senha.
4. Restringir o acesso a dados pessoais. O acesso aos dados pessoais, conforme já tratado no Capítulo 5, deve ser restrito àqueles colaboradores ou terceiros com necessidade legítima. Para tanto, controles devem ser implementado, adicionando, modificando ou até mesmo excluindo perfis de usuários, garantindo ainda que o acesso seja autorizado por alguém com nível apropriado de autoridade para autentica-los, segregando funções de modo a evitar que possam existir conflitos ou que se aumente o risco de segurança ou de privacidade.
5. Manter medidas de segurança de recursos humanos. Às organizações que processam dados pessoais sugere-se a adoção de salvaguardas que garantam que as pessoas que acessam essas informações mantenham cargos de confiança ou, ao menos, assinem termos de responsabilidade e confidencialidade específicos. Deve-se adotar, também, procedimentos que assegurem que quando empregados deixam a organização ou são transferidos, sejam tomadas medidas imediatas a fim de restringir o acesso a sistemas de informação e/ou instalações que abriguem dados pessoais, de modo que nenhum dado permaneça sob custódia de tais profissionais após sua transferência ou rescisão de contrato.
6. Integrar a privacidade de dados nos planos de continuidade de negócios. A adoção de um plano de continuidade de negócios e de recuperação de desastres (Data Loss Prevention) é crucial para que a organização defina estratégias no caso de ocorrência de quaisquer incidentes que afetem seus sistemas de informação e, consequentemente, que possam acarretar na perda ou vazamento de dados ou informações confidenciais. A virtualização de servidores físicos reduz consideravelmente a dependência de hardware e acelera substancialmente a velocidade de recuperação, quando necessária.
7. Manter uma certificação de segurança (por exemplo, ISO 27001). Recomenda-se que as organizações submetam-se a auditorias específicas e avaliem postular por certificações, tais como, por exemplo, a ISO 27001, de modo que se evidencie a existência e efetividade dos controles correspondentes aos sistemas de segurança da informação, proteção de dados, privacidade e governança.
No próximo capítulo, irei discorrer sobre como administrar riscos de terceiros.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 21 jan 2019 | Artigos
Após identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência, como implementar uma política de privacidade de dados e como a nova regulamentação influenciará nas rotinas, a Série “LGPD na Prática” desembarca no pilar treinamento e comunicação, capítulo no qual passarei a discorrer sobre a melhor forma de promover a conformidade com as normas internas e externas por meio da interação com os colaboradores e parceiros de negócios.
Promover uma cultura de privacidade e preservação de dados pessoais é um dos principais objetivos a serem atingidos no processo de adequação às novas regras, haja vista que sem a conscientização de todos os envolvidos é quase impossível fazer com que a organização cumpra com todas as obrigações legais. Conforme visto no início da série, é preciso envolver todas as áreas da organização, independente da existência de um Encarregado de Dados, estejam elas abrangidas ou não entre aquelas que ativamente tratam ou processam dados pessoais. Para tanto, sugere-se seja cumprido um cronograma interno de treinamento e comunicação e a melhor forma de fazê-lo passa por algumas etapas:
1. Preparar materiais com mensagens claras. Tanto no que concerne ao treinamento quanto à comunicação, é fundamental ir direto ao ponto. Nenhum colaborador ou parceiro de negócio precisa ser bombardeado com jargões jurídicos ou análises técnico-legislativas das regulamentações de proteção de dados. Deve-se certificar que a mensagem seja entendida por todos, ou seja, que cada um compreenda sua responsabilidade para com a privacidade e proteção de dados e como as novas regras impactarão suas suas atividades rotineiras. Trazer exemplos práticos, relacionados ao dia a dia da organização e voltados para as práticas de cada área mais sensível do negócio facilita qualquer explanação quanto à importância do engajamento de todos para que a organização cumpra com suas obrigações. Nesse sentido, sugere-se seja adotado um treinamento geral e breve, com um overview da nova regulamentação e/ou da política interna. Em paralelo, que seja adotada uma campanha de comunicação regular, promovendo os aspectos positivos da norma, utilizando editais, e-mails, videos, wallpapers, posts na intranet, etc.
2. Conceber uma abordagem específica para as áreas mais sensíveis. Para as funções nas quais o processamento e tratamento de dados faz parte das rotinas diárias, tais como nas áreas de marketing, RH e vendas, por exemplo, recomenda-se uma abordagem específica e um pouco mais técnica, baseada em riscos previamente identificados. Aconselha-se apresentar alguns cases de violações de dados, muito comuns nos dias atuais, e o impacto destas nas respectivas organizações.
3. Incorporar questões relacionadas ao tratamento e processamento de dados à integração de novos colaboradores. Além do treinamento específico, sugere-se que o tema seja tratado desde a integração dos colaboradores, logo no início da relação laboral, e assimilado pelo Programa de Compliance da organização.
4. Criar um cronograma para monitorar a regularidade dos treinamentos e das comunicações. Tanto no que concerne ao treinamento quanto às comunicações, criar um plano de ação é fundamental: Para tanto, as perguntas que devem ser respondidas são as seguintes: (i)”que objetivos deverá ser atingido antes da entrada em vigor da nova regulamentação?”; (ii) “quais são os diferentes públicos alvos e que mensagem passar a cada um deles?”; (iii) “que meios que serão utilizados para treinar os colaboradores e veicular as comunicações internas?”; e (iv) “em que período serão realizados os treinamentos e qual a programação das mensagens a serem veiculadas tanto ao público interno quanto ao externo?”; (v) “de quanto em quanto tempo serão realizados novos treinamentos, de modo que o discurso permaneça vivo dentro da organização?”. A partir das respostas deve-se criar um cronograma de atividades a ser gerenciado pelo Encarregado de Proteção de Dados.
5. Medir a participação e a efetividade dos treinamentos. Elaborar relatórios periódicos para determinar se os colaboradores e demais envolvidos em atividades relacionadas ao tratamento e processamento de dados participaram dos respectivos treinamentos. Sempre que possível, gerar evidências da efetividade dos treinamentos, por exemplo, através de questionários a serem aplicados ao término das apresentações. Ainda, sugere-se que seja implementado um sistema para avaliação do treinamento em si, de modo a avaliar a se a mensagem foi passada de forma clara ou se há algo a melhorar.
6. Fornecer treinamento qualificado para o Encarregado de Proteção de Dados. Nas situações em que o Encarregado de Proteção de Dados for colaborador da organização, sugere-se que este participe de treinamentos específicos de educação profissional, com viés técnico e jurídico, de modo a aperfeiçoar o Programa com base nas melhores práticas de mercado.
No próximo capítulo, irei discorrer sobre como gerenciar os riscos relacionados à segurança da informação.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 18 jan 2019 | Artigos
Nos quatro primeiros capítulos da Série “LGPD na Prática” foi possível identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência e como implementar uma política de privacidade de dados.
Continuando com a proposta de esclarecer como a nova regulamentação influenciará nas rotinas da organização e a melhor forma de se preparar para cumprir com as novas obrigações legais, passo a exemplificar em que rotinas será necessário incorporar a privacidade de dados, sustentando procedimentos operacionais consistentes com as normas internas e externas e aos objetivos de gerenciamento de riscos:
1. Mapear os processos internos e aprimorar os controles de acesso. Conforme visto no capítulo anterior, deve-se revisitar ou implementar políticas e normas de conduta relacionadas à coleta, tratamento e guarda de dados pessoais, contudo a redação de documentos de nada adiantará se os processos e controles internos não respeitarem as regras criadas internamente e as regulamentações tais como a LGPD ou a GPDR. O mapeamento de todos os processos internos permitirá identificar com maior precisão quais são as áreas mais sensíveis da organização e, consequentemente, onde estão os maiores riscos, no que concerne à proteção de dados, seja de clientes, colaboradores, usuários de sistemas de informação ou aplicações, etc, permitindo que sejam aplicadas restrições ou implementadas melhorias nos controles de acesso a determinadas informações, por exemplo.
2. Integrar as normas de coleta, tratamento e guarda de dados às rotinas internas, como por exemplo:
2.1 No uso de cookies e mecanismos de rastreamento. No caso dos websites de organizações que processam dados pessoais ou que possam ser combinados ou selecionados para identificar determinada pessoa, será necessário revisar os termos de consentimento, possibilitando ao usuário de maneira ativa aceitar ou recusar os vários tipos de cookies antes de prévia configuração, informando de maneira clara por que, como e com que finalidade os dados serão utilizados e permitindo que, a qualquer momento, seja possível ter uma visão completa de todos os cookies ativos e que o consentimento possa ser revogado. Também deve restar devidamente identificado quais dados do usuário são compartilhados com terceiros em razão de aplicações que porventura estejam incorporadas ao seu website. Sob o ponto de vista das obrigações legais, as organizações devem registrar todos os consentimentos dos usuários, armazenando-os de forma segura para que possam ser utilizados como eventual prova. Já existem no mercado soluções que integram a política de cookies ao monitoramento da atividade de cookies em websites, gerando inclusive relatórios mensais sobre o processamento de dados.
2.2 Na retenção de dados. Conforme mencionado anteriormente, o inventário de dados permitirá que a organização livre-se de dados obsoletos, imprecisos e que eventualmente tenham sido processados sem o consentimento dos titulares evitando sua exposição às penalidades previstas pela LGPD. No entanto, com relação aos dados que permanecerão sendo processados é interessante que sejam implementados processos de categorização destes dividindo-os em categorias quanto ao tempo de retenção (curta, média ou longa, por exemplo). Importante salientar que o direito à revogação do consentimento de processamento de dados, por parte de qualquer titular, não pode se sobrepor ou contrariar outras legislações que versem sobre a obrigatoriedade de manutenção de determinados registros.
2.3 Nas práticas de marketing e publicidade digital. A LGPD impactará no engajamento e na relação entre as organizações e seus atuais, potenciais e ex-clientes. A fase de prospecção de vendas, em especial os formulários online e offline e as práticas de e-mail marketing deverão ser revisitados para estarem em conformidade com a nova regulamentação. No caso de aquisição das famosas “listas” com dados pessoais, a organização deverá obter junto ao terceiro coletor, de quem eventualmente as adquiriu, as informações de consentimento adequadas. Até mesmo no mundo B2B, ações simples de networking como a troca de cartões de visita e inclusão das respectivas informações em banco de dados das organizações deverá passar por um processo de revisão e readequação às normas. A coleta de dados comportamentais para potencializar a segmentação de anúncios também passará, fatalmente, por uma reformulação e segundo recente reportagem da Harvard Business Review*, a resposta está na publicidade contextual, ou seja, anúncios serão exibidos não com base no perfil de um consumidor, mas no conteúdo que está sendo visualizado em tempo real.
2.4 Na contratação de empregados e manutenção dos seus dados pessoais. Conforme verificado anteriormente, a LGPD não diz respeito somente à garantia de conformidade para com os dados de clientes e usuários de sistemas de informação de determinadas organizações. Uma área que não deve ser menosprezada na aplicação da nova regulamentação é o Departamento de Recursos Humanos, que coleta e processa dados pessoais de colaboradores (efetivos e potenciais) e terceiros, seja para selecionar, contratar, demitir, pagar, fornecer benefícios, inscrever o profissional em cadastros de órgãos públicos, etc. Neste particular, inclusive, o conceito de consentimento para tratamento e retenção dos dados se confunde com obrigações legais da organização para execução do contrato de trabalho e para cumprir com obrigações legais de ordem trabalhista e previdenciária, por exemplo, motivo pelo qual deve-se encontrar o equilíbrio entre os direitos de privacidade dos colaboradores e a promoção de interesses legítimos da organização no papel de empregadora. Ou seja, é fundamental que os empregados não só tenham plena consciência de suas obrigações, como colaboradores de organizações que processam dados, mas também de seus direitos, como titulares de dados que são processados por seus empregadores.
2.5 Na segurança patrimonial, em especial no uso de câmeras de vigilância. Dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável, portanto vai muito além do nome, endereço, número de telefone, data de nascimento, contas bancárias, registros médicos, etc, de modo que imagens também devem ser tratadas com o mesmo cuidado, mormente se considerado o potencial que câmeras de vigilância conectadas à internet têm de ameaçar as liberdades individuais. Por essa razão, para reduzir significativamente as chances de violação, sugere-se que a empresas invistam em softwares e hardwares seguros para sua vigilância e conectividade de vídeo e que transfiram esse tipo de preocupação a eventuais terceiros fornecedores, operadores de sistemas de alarme, por exemplo.
No próximo capítulo, irei discorrer sobre como cumprir um cronograma interno de treinamento e comunicação.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
* “How GDPR Will Transform Digital Marketing“. Disponível em: https://hbr.org/2018/05/how-gdpr-will-transform-digital-marketing. Acesso em 17. jan. 2019.
por Fernando Henrique Zanoni | 17 jan 2019 | Artigos
Nos três primeiros capítulos da Série “LGPD na Prática”, esclareci quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização e como preservar um inventário de dados pessoais e mecanismos de transferência.
No quarto capítulo, irei discorrer acerca de como implementar uma política de privacidade de dados e, mais precisamente, como integrar este tema ao seu Programa de Integridade, redigindo e executando normas que atendam aos requisitos legais e mitiguem riscos operacionais e de danos aos titulares dos dados. Nesta etapa, alguns passos devem ser seguidos:
1. Elaborar ou atualizar a Política de Privacidade de Dados, utilizando linguagem simples e de fácil compreensão, evitando linguagem técnica ou jurídica, considerando seus públicos-alvo, quais sejam, os titulares dos dados e os colaboradores da organização. Em resumo, a Política deve especificar: (i) quais são os dados pessoais coletados pela organização, e quais as suas finalidades; (ii) se são processados dados sensíveis; (iii) como as informações são utilizadas; (iv) qual o sistema de segurança para proteção dos dados; (v) quanto tempo os dados são mantidos em seu banco; (vi) se as informações fornecidas à organização são compartilhadas ou não com terceiros e, em caso positivo, quem seriam essas outras partes; (vii) quem é o Data Protection Officer (DPO), no caso daquelas organizações obrigadas a manter esta função; quem tem acesso e quais processos utilizam-se de tais informações; (viii) de que forma é coletado o consentimento do titular; (ix) como o titular pode ter acesso aos seus dados pessoais para atualiza-los ou corrigi-los; (x) qual o processo para remoção dos dados de sua base ou para promover sua portabilidade; (xi) se os websites e aplicações da organização utilizam cookies; e (xii) se é processada a transferência internacional de dados. No caso de organizações que já possuem uma Política de Privacidade de Dados esta poderá somente ser atualizada, pois muitos aspectos mencionados já são tratados no texto atual, contudo, é uma boa oportunidade para reescrevê-la completamente de modo a melhorar sua comunicabilidade.
2. Redigir ou revisar o Código de Conduta, a Política de Segurança da Informação e outras normas internas, de modo a criar uma maior conscientização entre os colaboradores acerca de questões relacionadas ao processamento e tratamento de dados e alinhar todas as normas com o mesmo discurso e as novas obrigações legais. Avaliar, ainda, a necessidade de criar normas mais específicas diretamente ligadas às novas regulamentações, tais como uma Política de Retenção de Dados.
3. Manter um cronograma de revisão periódica dos principais documentos de integridade. Como o tema da governança de dados ainda é novo, a entrada em vigor da LGPD e a prática diária, especialmente na interação entre as partes envolvidas fatalmente trará a tona a necessidade de atualização das principais normas internas da organização. Nesse sentido, sugere-se que um cronograma de revisão periódica dos principais documentos (Código de Conduta, Políticas e Procedimentos) seja adotado, envolvendo não só o Encarregado de Proteção de Dados, mas também o responsável pela função compliance.
No próximo capítulo, irei discorrer sobre como incorporar uma política de privacidade de dados às suas operações.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
por Fernando Henrique Zanoni | 15 jan 2019 | Artigos
Após verificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP) e como manter uma estrutura de governança de dados dentro da organização, temas que foram trabalhados nos dos dois primeiros capítulos dessa série, passo a abordar como preservar um inventário de dados pessoais e mecanismos de transferência de dados.
Neste particular, sugere-se que as seguintes etapas sejam observadas:
1. Manter um inventário de dados pessoais e das atividades de processamento. Primeiramente, é necessário saber onde estão os dados pessoais. Para tanto, realiza-se uma auditoria (discovery), na qual é identificado como são coletados e onde são armazenados os dados (se em bancos estruturados ou não-estruturados), para onde estão sendo enviados, quanto tempo são retidos e em que formatos, quem tem acesso e está os utilizando, quem é o responsável e qual a sua relevância. Esta, certamente, será a etapa mais trabalhosa e demorada de todo o processo de adequação da organização à LGPD, pois devem ser considerados não só os servidores locais e de terceiros, mas também as nuvens públicas e privadas, mídias sociais e sites de compartilhamento, além de soluções híbridas que agregam todas as anteriores. Após este estágio, é provável que a organização verifique que detém dados pessoais irrelevantes, obsoletos ou redundantes, momento em que, sugere-se, sejam estes removidos de sua base, de modo a reduzir custos com o armazenamento, melhorar a indexação, dar mais rapidez ao acesso e ao tempo de recuperação na eventualidade de algum infortúnio e, sobretudo, diminuir os riscos.
2. Classificar os dados pessoais por tipo, de acordo com o seu conteúdo, preferencialmente utilizando, num primeiro momento, a categorização proposta pela própria LGPD (dado pessoal, dado pessoal sensível, e dado anonimizado). Isso ajudará a empresa a criar as políticas de armazenamento, garantir que os dados só sejam efetivamente acessados e compartilhados por pessoas com as devidas permissões e propor soluções de proteção, como criptografia e data loss prevention (DLP), e contra vazamento, dando mais controle sobre as informações que circulam no ambiente da organização e fora dele. Quando possível, a classificação de dados será inserida em metadados de arquivos, permitindo que essa informação trafegue com eles, informando automaticamente a aplicativos de terceiros e usuários como os dados devem ser manipulados.
3. Reter registros dos mecanismos de transferência de dados entre servidores localizados em diferentes países, nos casos de empresas que operam globalmente, distribuem seu armazenamento em nuvem ou utilizam-se de tecnologias como a blockchain, por exemplo, respeitando as previsões legais do Capítulo V da LGPD, em especial seu artigo 33. Nesse sentido, a título de salvaguarda, recomenda-se sejam revistos : (i) os contratos firmados entre organizações controladoras e processadoras de dados de modo que as obrigações de ambas estejam em consonância com as normas internacionais, ou seja, que sejam dadas garantias de que o tratamento dos dados e o nível de proteção respeitarão o disposto na LGPD e em outras leis aplicáveis; (ii) no caso de multinacionais, as regras corporativas globais gerais, tais como código de conduta e outras políticas, e específicas, que regulamentem a transferência e processamento de dados pessoais entre empresas do mesmo grupo econômico; (iii) os termos de consentimento firmados pelos titulares dos dados. Recomenda-se que empresas que trabalhem com um volume muito grande de dados e processos complexos de tratamento e, principalmente, transferência, busquem certificações ou selos de modo a demonstrar seu compromisso para com as principais normas internacionais.
No próximo capítulo, irei discorrer sobre como implementar uma política de privacidade de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários