GDPR e a Lei Geral de Proteção de Dados Brasileira – LGPD
A sua empresa já está se preparando para a Lei Geral de Proteção de Dados (LGPD)?
A partir desta data, a RCE IT passará a gerar uma nova série de artigos abordando a regulação oriunda da União Européia, internacionalmente conhecida como GDRP (General Data Protection Regulation), a qual de alguma forma deu origem, orientou ou inspirou a Lei Geral de Proteção de Dados Brasileira (LGPD ou Lei 13.709 de 2018), que altera ou contribui com a lei 12.965, de 2014 (o Marco Civil da Internet), devendo entrar em vigor no início de 2020. Estas regulações também devem-se aos escândalos e mau uso de informações de dados pessoais de clientes e usuários ocorridos ao longo do tempo.
O que é LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada no Brasil e muda significativamente as obrigações das empresas quando se trata em lidar com os dados pessoais, com a finalidade de aumentar a privacidade dos indivíduos e o controle sobre os seus próprios dados.
Qual o impacto para o seu negócio?
A lei irá cobrar das empresas diversos pontos referente a segurança, transparência, confidência de dados, privacidade e proteção de informações pessoais, definindo regras e limites sobre coleta, armazenamento e tratamento dos dados por empresas e órgãos públicos, e determinando mais direitos aos usuários.
Em geral o GDRP e a LGPD, mais que tecnologias específicas ou letra fria de lei, são processos integrados de GRC e práticas de Governança, sob as óticas organizacional e tecnológica, suas cultura e capacidades.
Em abordagem relativa ao GRC, o GDRP alinha-se às seguintes questões ou pilares:
- Governança: Cultura organizacional, normativas, melhores práticas e pensamento estratégico orientado. Também a definição de processos de governança de dados e informações, e tecnologias correlatas.
- Risco: Definição de objetivos de controle, sistemas de gerenciamento de segurança da informação e CIDA (processos e tecnologias), controle e cybersecurity/risk.
- Compliance: Integridade corporativa e programa correlato de compliance, observação e aderência à complexidade regulatória e interface com outros mecanismos regulatórios e legais aplicáveis, processos e IT Compliance.
O devemos buscar o entendimento de que não se tratam de disciplinas apartadas, mas sim integradas, tratando seus processos com aderência tecnológica especifica.
A questão real que as corporações precisam entender em relação a estas regulamentações, é quanto ao risco e o impacto econômico que aumentam em relação ao seu risco cibernético.
Pois cada novo serviço ou processo de negócios que faz uso de dados pessoais, deverá levar em conta a proteção e privacidade dos mesmos.
As regulamentações exigem que as organizações denunciem violações de dados dentro de um curto espaço de tempo após a detecção. Dentro do contexto do GDPR, uma violação de dados é a perda ou comprometimento de dados pessoais. Um desafio que muitas organizações enfrentam é que o tempo entre a intrusão inicial de um malware e a detecção da perda de dados geralmente se estende por semanas ou meses, criando assim uma janela de oportunidades. Isso permite que os agentes mal-intencionados distribuam códigos maliciosos e botnets lateralmente, obtendo um acesso muito mais profundo nos sistemas e dados de uma organização. No entanto, o regulamento também prevê que, se a violação de dados pessoais não gerar um risco para os direitos e liberdades das pessoas singulares, não tem de ser comunicada. Mas uma imagem ruim publicada tem impactos econômicos negativos, o que temos visto recentemente.
Com visibilidade profunda da infraestrutura, incluindo dados, através de soluções e serviços de cyber defense orientados e governados, permite que as organizações saibam onde seus dados residem, bem como, quem e o que os acessam. Como resultado, no caso de uma inspeção de uma violação de dados, eles podem demonstrar que possuem proteções robustas de privacidade e têm a capacidade de verificar o armazenamento, uso e remoção seguros.
Tanto o GDPR como a LGPD, são temas em ebulição no meio corporativo com aceleração deste aquecimento marcado para os próximo os 2 ou 3 anos em nosso País, gerando demandas de adequação do mundo corporativo, impactado na aderência tecnológica, processual e cultural, cujo ambiente rodará melhor se instituirmos as devidas práticas de gestão e governança, organizacional e tecnológica.
Baseado na crescente importância deste contexto, a RCE IT retoma aos seus leitores uma segunda série de artigos com o intuito de levar ao seu público conteúdo relevante e de qualidade com o objetivo de colaborar com suas iniciativas.
Vladimir Bidniuk
Consultor de negócios – RCE IT
