Um dos assuntos em pauta para os profissionais de Direito Digital e de Segurança da Informação é a adequação à Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018). E durante esse processo, existem muitas dúvidas, e uma delas é: Qual a maneira mais correta e segura para adequação? E a resposta é: Não existe uma forma única de implementar e ficar em conformidade com os requisitos que a lei exige.
Abaixo listamos, com a contribuição de grandes especialistas em segurança da informação, alguns erros comuns na hora da implementação da LGPD e que podem ser facilmente evitados.
Continue lendo e se prepare, pois a lei entrará em vigor no dia 16 de agosto de 2020.
1 – Achar que a LGPD será só mais uma regulamentação que não irá pegar.
Para o Head de Privacidade e Segurança da Informação, Paulo de Oliveira, “Muitas lideranças, quando tomam conhecimento da Lei Geral de Proteção de Dados, não dão a devida importância ao assunto”.
Segundo o Paulo, o maior desafio dos profissionais que buscam compreender os impactos da LGPD, é “transmitir a relevância do tema para a alta direção”. E sugere “Trazer alguém de fora que tenha propriedade no assunto para que possa transmitir a mensagem sem tom de terrorismo, mas com a devida importância que o tema merece. A busca por uma consultoria que esteja tratando deste tema, pois estes profissionais tratam deste assunto diariamente é conseguir ser mais enfática no assunto, trazendo cenários reais com problemas e soluções que estão ocorrendo nas organizações”.
2 – Implementar os requisitos da LGPD somente nos “principais” departamentos da organização
Paulo cita a importância da implementação em todos os departamentos da empresa: “Quando a organização percebe que temas como classificação da informação, treinamento e conscientização, correlacionamento de informações, gestão de identidades, etc., são temas imprescindíveis para adequação a regulamentação, vejo que algumas organizações optam por implementar a LGPD somente nos “principais” departamentos da empresa. Com certeza, se faz necessário a execução de um assessment, para análise das áreas com maior risco de vazamento de dados para que sejam priorizadas. Porém parar apenas nestes departamentos é por em um elevado nível de risco todo o projeto, pois este tema deve ser tratado com a devida a atenção por toda a organização”.
3 – Atenção aos processos
“Um dos erros é olhar apenas as questões legais”, para Enrico Martins diretor da 9net TI, é necessário olhar todos pontos para adequação à LGPD. Ele fala sobre a importância do tripé da implementação “as empresas precisam revisar a parte jurídica, de tecnologia e os processos (que geralmente são o calcanhar de Aquiles, onde normalmente há falta de maturidade nas empresas).”
E sobre essa parte delicada, Enrico complementa “os processos são sempre onde as empresas tem dificuldade. As consultorias precisam ajudar os clientes a mapear seus processos dentro dos projetos de adequação à lei”.
4- Definir o responsável pelos dados
Muitas empresas ainda não entenderam a necessidade de definir um responsável pelos dados sensíveis da organização, sem essa definição clara, o processo de adequação à lei será prejudicado.
Para Umberto Rosti da Safeway, esse é um dos erros mais comum que as empresas podem cometer “é necessário definir desde o início um Encarregado de Dados (ou comumente chamado de DPO – Data Protection Officer), ele levará todos os princípios e controles da lei para a organização, conduzindo a implantação do inicio ao fim, integrando as mais diversas área de negócios, além,de conseguir mostrar à alta administração os benefícios em estar em conformidade com a legislação. Afinal quem sair na frente com a LGPD, poderá usar isso como um diferencial de negócio no mercado, melhorando sua reputação”.
5- Não ter um programa de reciclagem e treinamento efetivo
Sabemos que ao passar do tempo, o quadro de colaboradores muda dentro das empresas, o que afeta a continuidade de processos e normas. E esse é um dos pontos citados por Ivo Cairrão da IAUDIT Consultoria, “um dos erros é não ter uma programação rígida de treinamento e reciclagem das orientações da Alta Administração, com custo beneficio adequado as reais necessidades da empresa. É necessário dar continuidade ao processo e não fazer uso apenas na implementação, isso precisa ser tornar regra e norma para todos os novos colaboradores. E periodicamente oferecer um novo treinamento ou reciclagem aos que em algum momento já foram treinados”.
6 – Não investir em Gestão de Identidades
Poderíamos listar muitos outros erros, mas Paulo de Oliveira finaliza “Poderia citar outras ferramentas necessárias para implementação da regulamentação, porém focarei na necessidade de estabelecer um processo de gestão de identidades na organização. Diversas pesquisas demonstram que o maior risco relacionado ao vazamento de dados, é o interno, ou seja, é o vazamento que se origina dentro da organização, proposital ou não, este cenário é o mais frequente quando comparado a ataques externos.
Por este motivo, há a necessidade de iniciar na organização, que ainda não possui um projeto de gestão de identidades, a definição de quem tem acesso ao que e o nível deste acesso (leitura/escrita). Com a correta implementação da gestão de identidades, será possível reduzir significativamente acessos indevido e saber quem possui o acesso e a quais dados. Proporcionando um maior controle no tratamento das informações a nível organizacional”.
Conheça os especialistas deste artigo:
Paulo de Oliveira: https://www.linkedin.com/in/paulooliveira2/
Enrico Martins: https://www.linkedin.com/in/enricomartins/
Ivo Cairrão: https://www.linkedin.com/in/ivocairrao/
Umberto Rosti: https://www.linkedin.com/in/urosti/
Você também pode se interessar por:
Interessante abordagem. Realmente existem muitas “vulnerabilidades” na inobservância da adequação ou conformidade em relação a LGDP, e não são apenas tecnológicas, também muito bem apontadas nos itens 3 e 5 deste artigo. Tomo a liberdade de apontar um outro erro ou status de vulnerabilidade de grande parte das empresas, a cultura organizacional e a ausência de verdadeiras práticas de governança, e não apenas de TI, fatores estes promotores de vulnerabilidades diversas que impactam direta ou indiretamente no processo de conformgo.idade com a LGPD/GDPR. Parabéns pelo artigo.