book_icon

LGPD muda forma de acesso e governança da informação

Lei entrará em vigor a partir de fevereiro 2020, pouco mais de um ano para que as empresas brasileiras se adaptem às práticas, políticas e sistemas

A Lei Geral de Proteção de Dados – conhecida como LGPD – foi aprovada pelo então presidente Michel Temer em 14 de agosto de 2018, e só entrará em vigor a partir de fevereiro 2020 – e as empresas brasileiras têm pouco mais de um ano para adaptar práticas, políticas e sistemas para adequar-se à nova lei.

Um dos aspectos mais relevantes e mais complexos é, sem dúvidas, o acesso aos dados internamente. E uma das mudanças trazidas pela LGPD é justamente a classificação das informações internamente – quem tem acesso às informações da companhia.

De fato, isso é crucial: um estudo publicado pela Intel esse ano apontou que ao menos 43% do vazamento dos dados acontece por conta de falhas de segurança envolvendo o acesso de usuários internos –cerca de metade deles é acidental.

O problema é que a estratificação e a classificação da informação por níveis de acesso ao usuário ainda são novidade por aqui. Muitas organizações ainda fazem esse controle manualmente – e com o advento dos serviços na nuvem, o controle dos usuários ficou ainda “solto”.

A principal mudança é que a nova lei vai exigir um controle rigoroso sobre os dados pessoais que as empresas armazenam – e isso demandará que a classificação das informações hoje seja revista do ponto de vista dos dados pessoais.

Como as empresas brasileiras estão encarando o LGPD
Da nossa prática diária, observamos que muitas organizações estão deixando para iniciar as mudanças exigidas pela lei no próximo ano. Existem aqueles que ainda não conhecem a legislação, e não sabem quais as adaptações e mudanças terão de fazer.

Uma coisa, porém, é certa: a nova legislação afeta profundamente a operação de muitas empresas – afinal, a organização vai precisar informar o motivo pelo qual está coletando informações pessoais, e classificar esses dados internamente de maneira a dar acesso somente àqueles autorizados.

Para se ter uma ideia, a nova legislação não afeta somente qual é o tipo de tecnologia que a organização vai utilizar para realizar o controle de acesso aos dados: exige também a criação de novos cargos, responsáveis pela guarda das informações, como o Data Protection Officer, que deverá ser o guardião e responsável pelo cumprimento da nova lei. Também prevê a criação de um Comitê de Segurança da Informação que deverá zelar pelos dados e analisar os procedimentos internos.

A lei também cria outras figuras que deverão ser responsáveis pelo tratamento dos dados: o Controlador –a quem competem as decisões sobre o tratamento das informações– e o Operador, responsável pelo tratamento dos dados – que podem ser pessoas físicas ou jurídicas, de direito público ou privado.

Existe também a figura do Encarregado, que deverá atuar como um canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – um órgão independente, que deverá funcionar nos mesmos moldes que uma agência reguladora.

Um aspecto importante é que a LGPD não aplica somente às operações online, mas também às operações offline, ou seja, dados cadastrais armazenados, mesmo que não transitem em meios eletrônicos.

Ou seja, a complexidade da lei ultrapassa as barreiras da adequação técnica, e está diretamente relacionada à governança das informações e o direito do acesso aos dados – como a mídia tem ressaltado desde o início desta discussão, as multas são altíssimas, e o prejuízo em termos de desgaste de imagem da organização, maior ainda.

Por Carlos Rodrigues, VP Latam da Varonis

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.