A LGPD exige que as empresas implementem um programa de governança em privacidade que, no mínimo, a empresa crie políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.
Também deve possuir planos de resposta a incidentes e remediação, atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Claro que isso não é uma tarefa fácil.
Primeiramente precisamos quebrar alguns paradigmas e falsas crenças em relação a segurança de dados.
A primeira dela é pensar que apenas ter um firewall, realizar backup periódico é o suficiente.
Vamos descrever algumas boas práticas para começar a estar em conformidade com a LGPD:
1) Formular regras de boas práticas e de governança:
Nós sabemos que a TI já tem algumas regras e boas práticas aplicadas, porém a LGPD reforça isso para que seja bem documentado, estruturado e continuamente avaliado.
– Como os dados serão tratados e armazenados?
– Quem vai cuidar para que os dados sejam coletados de forma adequada?
– Quem entrará em contato com os titulares para tirar dúvidas ou atender solicitações?
– Exemplo: se um cliente ligar dizendo que deseja todos seus dados sejam excluídos, como vai funcionar esse processo?
– Quem será o porta voz da empresa sobre o assunto?
2) Estabelecer políticas e salvaguardas adequadas:
– Devem existir políticas internas como externas.
– Quem pode acessar os dados dentro da empresa?
– Fornecedores externos tem acesso aos dados do banco de dados?
– Existem níveis de acesso os dados da empresa?
3) Processo de avaliação sistemática de impactos e riscos:
A empresa pode realizar testes de invasão, de tempos em tempos para avaliar se existe algum risco que possa trazer prejuízos financeiros ou a reputação da empresa.
Aqui poderia entrar os scans de vulnerabilidades também, assim é possível mapear que danos tal vulnerabilidade poderia causar.
4) Monitoramento contínuo e avaliações periódicas:
Nesse ponto acreditamos que já exista um processo e boas práticas implementadas e agora precisa ser monitorado.
Sabemos que acorrem mudanças constantes, internas e externas, hoje pode estar tudo ok, mas amanha pode sair um novo patch para ser instalado.
Alguém deve estar monitorando isso para não passar batido…
Um funcionário está saindo e sua conta de email continua ativa mesmo depois de sair…
ou o site foi atualizado e deixaram algumas portas abertas, ou serviços funcionando que deveriam estar desativados, curl, ftp, ssh…
Mudanças ocorrem continuamente e devem ser monitoradas sempre que possível.
Podemos ver que algumas coisas mudaram devido a nova lei, algumas empresas estão em dia com tudo que falamos acima, mas a grande maioria ainda precisa arrumar a casa.
Esperamos que possa tirar alguns insights.
Bom trabalho.
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: