Em vigor desde setembro de 2020, a lei geral de proteção de dados ainda é uma interrogação para muitas empresas, principalmente quando estamos falando do departamento mais impactado com a lei: TI.
Pensando nisso, convidamos dois especialistas em direito digital e segurança da informação para responder as perguntas mais frequentes sobre a lei, impactos e desafios para TI.
1) Como está o panorama da LGPD? Já existem casos jurídicos? Empresas estão se preparando juridicamente?
Embora a LGPD esteja vigorando desde setembro de 2020, ainda carece de regulamentação em vários pontos e é exatamente nisso que a ANPD – Autoridade Nacional de Proteção de Dados – está trabalhando neste momento.
2) Você tem visto movimentações dos times de TI no quesito de entendimento e adequação da lei?
Sim, em praticamente todos os clientes e conhecidos da área vemos um trabalho iniciado ou estudo em adequação a lei. Apesar de iniciado (no mínimo começando os estudos) vemos que na prática o caminho é longo, e na grande maioria dos casos que nos deparamos, ainda faltam implantar elementos para cobrir os requisitos mínimos que a lei obriga.
A figura de um GPO (seja ele uma função dedicada, ou compartilhada) é importante para o início das discussões sobre investimentos e tarefas.
3) Quais são os principais pontos que uma empresa precisa se preocupar?
Basicamente com a conformidade dos seus processos internos que envolvam dados pessoais, tanto de colaboradores, quanto de clientes.
4) Como TI deve olhar para os principais pontos da lei? Existe solução técnica para todos?
Existem sim soluções para cobrir todos os pontos da lei, e na maioria dos casos é uma mescla entre soluções tecnológicas e processos. Como pontapé inicial o GPO ou a área de TI precisa trabalhar nos fluxos por onde os dados sensíveis são tratados e armazenados nos sistemas. A partir daí fica mais fácil entender os principais pontos de ataque e endereçar a implementação das soluções.
5) Poderia falar sobre preocupações anti vazamento de dados?
As condutas preventivas que resguardam o controlador de um possível vazamento, passam pela análise da segurança dos softwares utilizados e do treinamento dos colaboradores sobre a cultura de segurança interna, além do ajuste nos processos no que diz respeito ao acesso aos dados e a rastreabilidade desta conduta.
6) Para a fase de contenção, como a gestão de TI ajuda? (Permissionamento adequado, DLP e cofre de senhas)
É importante garantir que apenas as pessoas expressamente autorizadas tenham acesso aos dados. Levando-se isso em consideração, os trabalhos para contenção de vazamento de dados devem levar em consideração o ambiente interno (não permitir que pessoas não autorizadas tenham acesso aos dados) e externo (impedir o vazamento dos dados por terceiros, hackers ou vírus). Soluções que levam em consideração o permissionamento interno (como por exemplo regras internas no AD e um cofre de senhas) e externo (soluções de DLP – Data loss prevention) contribuem muito para essa etapa de adequação ao LGPD.
7) O que fazer juridicamente após um evento de vazamento de dados?
Primeiramente, notificar a ANPD e em seguida, os titulares dos dados. Este tema tem sido discutido na segunda tomada de subsídios que a ANPD disponibilizou para consulta pública e será objeto de regulamentação posterior.
8) Quais tecnologias o mercado brasileiro tem em mãos para uma análise forense?
São inúmeras, mas pensando de uma maneira mais abrangente, um bom e bem configurado SIEM é indispensável. O SIEM é o software responsável por correlacionar e tratar eventos (logs) de diversas fontes diferentes e servir como um Big Data de eventos ou gerar alarmes em tempo real.
9) É necessário notificar se não houve dano?
A notificação, do ponto de vista da LGPD, deve ocorrer apenas e tão somente quando houver dados pessoais envolvidos no incidente em questão. O fato de haver um incidente, por si só, merece a atenção do controlador.
10) Sabendo que muitos vazamentos de dados têm origem do time interno, o que juridicamente devemos fazer?
Se houver possibilidade de rastreio, utilizar essas evidências para possível responsabilidade civil ou criminal.
11) Com a pandemia, o controle de usuários remotos ficou prejudicado?
Respondendo diretamente a questão, SIM. Poucas empresas estavam preparadas para suportar o time todo em home office. As tecnologias para gestão de usuários e segurança são diferentes quando tiramos os equipamentos da rede corporativa. Um ano após o início da pandemia ainda conseguimos ver empresas que estão conseguindo operar remotamente, mas estão com um nível de segurança inferior ao comparado com o ambiente de rede corporativo.
Existem soluções no mercado para cobrir esse gap, e nos últimos meses, temos visto que as empresas estão assumindo o home office como uma solução permanente e uma corrida para adequar o ambiente a essa nova realidade.
Especialistas //////
Adriana Cansian
CEO da Resh Cyber Defense e Sócia do Escritório Peres & Zola Advogados Associados
Advogada Especialista em Direito Digital
Membro da Comissão de Direito Digital da OAB/SP e Doutoranda em Direito Comercial pela USP.
Artur Araújo
Diretor Pinpoint
Graduado em Ciência da Computação pela Universidade Estadual Paulista (UNESP) e MBA em Gerenciamento Estratégico de TI pela Fundação Getúlio Vargas (FGV). Desde 2003 é membro ativo do comitê de programa do GTS/ NIC.br. Especialista em gerenciamento de produtos e desenvolvimento de novos negócios em infraestrutura de TI, redes e telecomunicações e segurança da informação.
Ficou com mais alguma dúvida? Nos mande ela, que os especialistas responderão no especialista responde sobre a LGPD parte 2.
{loadmoduleid 180}