LGPD e Gestão de Riscos - Hi Platform
Olá, tudo bem? Aqui quem fala (ou melhor, escreve) é Fabio Nunes, sou Senior Risk Management and Compliance Specialist aqui na Hi! Vou falar sobre a relação entre LGPD e Gestão de Riscos. Uma vive sem a outra? Descubra!
Antes de responder a essa pergunta, precisamos ter claro qual o objetivo das mesmas. De forma bem resumida:
> A LGPD ou Lei Geral de Proteção de Dados (13709/2018) veio garantir ao cidadão brasileiro o controle e a liberdade sobre o tratamento que as empresas dão aos seus dados.
> Quanto à Gestão de riscos, essa área tem como objetivos maximizar a exposição aos eventos positivos e minimizar a exposição aos eventos negativos.
Então, se de um lado devemos proteger a integridade e garantir que o cidadão decida pelo tratamento dos seus dados pessoais, do outro lado, a empresa deve buscar resultados positivos e garantir o direito, atualmente constitucional do cidadão.
Vou propor uma analogia com a construção de uma casa para que fique mais fácil a visualização de quem não é nem da área de riscos, nem tampouco entendeu muito o que é essa LGPD.
Concorda comigo que uma casa deve abrigar e proteger uma ou várias pessoas? Bom, para que ela consiga isso, precisa de alguns atributos básicos.
Então, a pergunta na analogia seria: Será que dá para fazer uma casa sem levar em conta a engenharia?
A resposta vai ser “sim”, mas muito entre aspas! Porque diariamente, e principalmente em épocas de chuvas aqui no Brasil, acompanhamos pela TV algumas tragédias por não se atentarem à engenharia no ato de construir uma casa.
Nesse cenário, as frases que ouvimos quando isso ocorre são: ”Era uma tragédia anunciada”, “Como é que não viram que isso iria acontecer?” ou “Por que o gestor responsável não fez nada pra impedir?”.
Em contrapartida, em países onde a preocupação com a gestão dos riscos já faz parte da cultura, sendo um bom exemplo disso o Japão, a recuperação e os danos causados por tragédias de proporções gigantescas são tratadas de forma imediata.
No Tsunami de 2011, que atingiu grau 7, a magnitude máxima da escala de intensidade sísmica da Agência Meteorológica daquele país, com ondas de mais de 10 metros de altura e que percorreram mais de 10 km de terra, um cenário aterrador e devastador, acompanhamos na época que uma estrada entre as cidades de Sendai a Ishnomaki de 51 km foi totalmente refeita em 1 dia, para que as equipes de socorro pudessem chegar a estes locais.
Se essa tragédia tivesse ocorrido no Brasil, quanto tempo demoraria um trecho de uma estrada dessas para ser refeito? Então, essa é a diferença de quem coloca riscos na prática.
Fazer gerenciamento de riscos não vai impedir tragédias, mas quando elas ocorrerem, terão um impacto muito menor do que teria se não tivesse se preparado.
Saindo da analogia e trazendo para a nossa realidade prática nas empresas, dá para fazer uma implantação de LGPD sem considerar o gerenciamento de riscos, mas a vítima vai ser a empresa, quando os problemas surgirem. E eles vão surgir.
Seja por exigência do mercado, que está atento e é implacável com as empresas que não garantem a Integridade dos dados pessoais, pelo órgão regulador que é a ANPD (Autoridade Nacional de Proteção de Dados) no ato de fiscalização; ou dos vários tipos de ataques que as empresas recebem diariamente como os Malwares, Phishing, Ransoware, DDoS Attack, Cavalo de Troia (Trojan Horse), ataques de força bruta, cryptojacking, dentre outros.
Portanto, para te ajudar, vou traçar um paralelo entre os 11 passos básicos para que a implantação da LGPD na sua empresa tenha sucesso com as 6 etapas do gerenciamento de riscos:
“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”, segundo William Edwards Deming.
Seguindo o que propôs Deming, é necessário que antes de tudo se tenha entendimento do que a Lei representa, em 2018 surgiram vários “gurus da LGPD” prometendo implantar nas empresas num passe de mágica, isso sem levar em conta os vários e complexos aspectos, tais como: financeiros, econômicos, nível de maturidade da empresa, o nível de cultura de riscos e qualidade dos processos.
O que sua empresa deve fazer primeiro é catalogar todas as leis que regulamentam direta ou indiretamente o seu negócio.
Veja o caso da Hi Platform, que tem clientes dos mais variados nichos de mercado e com regulamentações diferentes que atingem de forma direta ou indireta as funcionalidades das nossas aplicações.
Então, dependendo do porte do seu negócio, eleja um grupo ou uma pessoa para que leiam e conheçam o texto na íntegra, bem como as outras leis que regulamentam a atuação de sua empresa.
É importante que entendamos que a empresa não tem mais poder sobre os dados pessoais dos indivíduos, além daqueles que o próprio concedeu à empresa. Tudo o que sair dessa medida é violação dos dados pessoais.
O primeiro passo é definir como o gerenciamento de riscos corporativos será feito. Isso abrange qual metodologia será usada, as ferramentas disponíveis e como será sua execução.
O data mapping, data flow ou inventário de dados referem-se a um documento essencial para que sua empresa possa diagnosticar a forma eficaz como a empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, conforme a exigência constante no art. 37 da LGPD, onde estipula que o Controlador e o Operador devem manter registro das operações de tratamento de dados pessoais do titular de dados que realizarem.
Recomenda-se que o mapeamento de dados seja elaborado em conjunto pelos múltiplos setores da empresa com auxílio técnico e, caso se aplique ao porte da sua empresa, com apoio jurídico para análises das possíveis vulnerabilidades encontradas.
Importante saber que a Lei não se aplica puramente para informações que se encontram de forma digital, mas também arquivos e documentos físicos, a título de exemplo: como Notas Fiscais, Prontuários, ficha de empregados, fichas de cadastros e qualquer outro documento que contenha dados pessoais e/ou sensíveis.
Ao término dessa etapa, será possível visualizar o quanto os dados da sua empresa estão organizados ou mesmo desorganizados, mas sua empresa também terá todo o mapeamento de dados dos seus clientes, mapeando bancos de dados, suas localizações, suas tabelas, seus campos e demais metadados.
É o momento de visualizar através dos levantamentos de informações , dados históricos, entrevistas, relatórios de auditorias e consultorias com o propósito DE identificar quais seriam os riscos (positivos e negativos) que poderiam afetar a empresa.
Concluída a fase de Data Mapping, fica fácil agora para a empresa, avaliar o ciclo de vida dos dados coletados. E a partir da visualização de todo o processo, é possível determinar com razoável precisão, quais processos têm probabilidade de terem falhas ou fraudes, e determinar nesse primeiro momento qual o nível de exposição a riscos.
Eu recomendo, se for a primeira vez, que você considere fazer uma classificação de riscos simples, ou seja, o processo XYZ, que tem a probabilidade de um erro de quem está operando: baixa (quase nunca), média (às vezes), alta (ocorrem com regularidade) e qual o risco de violação de dados quando isso acontecer; o prejuízo de imagem e/ou financeiro será alto, médio ou baixo.
Lembre-se que o risco de vazamento de dados é responsabilidade da sua empresa, além de ter que garantir a proteção dessas informações e a privacidade de seus usuários e clientes.
O Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) representa documento fundamental a fim de demonstrar os dados pessoais que são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados.
Art. 5º – Para os fins desta Lei, considera-se: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; enquanto o art. 5º inciso XVII define o que é um RIPD, o seu conteúdo mínimo é indicado pelo parágrafo único do art. 38, grifado abaixo.
Art. 38 – A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial
Aqui você deve escrever as Políticas, ou seja, deixar expressas quais são as regras de proteção de dados que sua empresa vai seguir. Entretanto, a política sozinha não adianta.
É preciso criar mecanismos de controle e melhorar processos internos, para que as políticas sejam seguidas. Sua equipe nessa etapa já fez todos os levantamentos no Data Mapping e até emitiu um Relatório de Impacto, então não há desculpas para não melhorar os processos.
Essas diretrizes, assim como outros documentos oficiais que contenham normas da empresa, precisam ser revisados pelo departamento jurídico para que toda a documentação esteja em conformidade com a Lei Geral de Proteção de Dados ou por uma consultoria especializada, aprovados pela Alta Administração e principalmente divulgados por eles.
O encarregado pelo tratamento de dados pessoais, internacionalmente conhecido como Data Protection Officer (DPO), possui a função de atuar como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Vale ressaltar que, dependendo do porte da sua empresa, você pode terceirizar essa função. Hoje é comum ter DPO as a service, é ele quem vai orientar para que os dados sejam coletados de forma correta. Ele que tem a capacitação e ótimos conhecimentos sobre Privacidade de Dados.
PASSO 7 LGPD: TREINAMENTO E CAPACITAÇÃO
“Não se define o que não se entende.” Não dá para exigir o comprometimento e o cumprimento das regras se as pessoas dentro da sua empresa, não compreendem do que as Políticas estão tratando, qual a sua importância pessoal dentro do processo de manutenção da lei na empresa.
Na plataforma da Hi Academy, por exemplo, a Hi disponibiliza um excelente e completo treinamento sobre a LGPD e seu processo de implantação! Clique aqui para conhecer o curso e nossa plataforma de treinamentos https://hiacademy.com.br/
Qualitativa: Com os riscos identificados, chegou o momento de avaliar qual o impacto qualitativo, ou seja, avaliar quais são seus efeitos sobre o projeto e classificando quais são os mais prioritários e que requerem maior atenção.
Quantitativa: Aqui vamos avaliar a partir dos dados que a empresa conhece, qual ou quais as probabilidades dos riscos, e estimar ou mensurar se possível, quais suas consequências para a empresa.
Ao término dessas 2 (duas) etapas a Alta Administração deverá priorizar os riscos, haja vista, que alguns riscos no momento não precisam ser mitigados ou em alguns casos, o controle seria mais caro do que o que o próprio processo gera de retorno a empresa, os riscos irão seguir por 3 (três) caminhos, a empresa poderá:
1. Tratar os riscos, estabelecendo controles e mudanças no processo com o objetivo de mitigar o risco;
2. Terceirizar – após o levantamento a empresa pode, por exemplo, identificar que a contratação do Curso da Hi Academy sobre LGPD, será mais efetiva e econômica do que treinar uma equipe interna e esta equipe treine a empresa inteira.
3. Assumir – Assumir o risco é o ter sob controle, mas no momento não tomar ação nenhuma para tratá-lo, por ter riscos mais prioritários ou sua probabilidade e impactos serem irrelevantes, ou menores que os outros riscos identificados.
Se sua empresa atua como Controlador e Operador de dados, é importante ter em mente criar modelos e processos padrão, para atender as demandas advindas do Titular (pessoa física), da Controladora dos dados (Cliente) e ANPD (órgão regulador).
Defina o fluxo dessas informações na sua empresa, de como entram, são tratadas e devolvidas e armazenadas, para que possa atender com rapidez às exigências em uma fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
O próprio nome da etapa já o descreve, é a construção a partir da Matriz de riscos de uma Matriz de responsabilidades, com a definição de processos, estratégia a ser utilizada para tratar o risco, prazos, responsáveis, patrocinadores, investimento necessário etc. vou me ater aos itens básicos que seu plano deve conter, mas o importante é que ele exista e de acordo com o porte e realidade da sua empresa.
Estar em compliance ou estar em conformidade, tem como objetivo, a partir dos indicadores, normas, técnicas ou metodologias já definidas, comparar com as práticas realizadas na sua empresa e ver qual o seu nível de aderência.
No caso específico da LGPD, obrigatoriamente, sua empresa for do Setor de Tecnologia, não tem como desconsiderar a metodologia OWASP “Open Web Application Security Project”.
Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, atuando com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo, o NIST- CSF ou NIST Cyber Security Framework, fornece uma estrutura, com base nos padrões, diretrizes e práticas existentes para organizações do setor privado nos Estados Unidos, a fim de gerenciar e reduzir melhor o risco de segurança cibernética ou da ISO 27000 que faz referência ao conjunto de padrões desenvolvidos pela International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC).
Ambos os padrões fornecem uma estrutura de gerenciamento da segurança da informação e proteção de dados. Os princípios presentes são extremamente úteis para qualquer organização (seja pública ou privada) e de qualquer porte (seja de pequeno, médio ou de grande porte).
Depois de todo o trabalho de estar em conformidade com a Lei 13.709/18 e demais leis que regulam seu Setor, nada mais justo, que exigir que seus Fornecedores tenham o mesmo nível de preocupação e comprometimento que sua empresa demonstrou.
Até porque, caso haja vazamento de dados de seus clientes, atribuído a um fornecedor que esteja como Operador no tratamento de dados dos seus clientes, e muito embora o controlador tenha a principal responsabilidade e o operador deva atuar em nome dele, o art. 37 da LGPD determina que ambos partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento.
Além disso, nos termos do art. 42 da LGPD, ambos possuem a obrigação de reparação se causarem dano patrimonial, moral, individual ou coletivo a outrem, no âmbito de suas respectivas esferas de atuação.
Todos os produtos desenvolvidos terão que contemplar atualizações visando a proteção à privacidade dos seus usuários. Significa imputar no design e na infraestrutura dos projetos (plataformas, sites, sistemas, aplicativos etc.) a metodologia Privacy by Design (que leva em conta a privacidade durante todo o processo de elaboração de software) ou by default (em que as configurações mais seguras de privacidade são aplicadas por padrão, sem a necessidade de entradas manuais para isso, assim que o produto ou serviço é direcionado ao público).
Agora chegou o momento de validar se suas ações têm sido eficazes e efetivas e surtido efeito dentro da empresa.
Por meio do follow-up diário, semanal, quinzenal, mensal, trimestral etc., a empresa irá verificar o plano de implantação. No caso específico da LGPD, a utilização das matrizes OWASP, NIST-CSF ou ISO 27000 e da própria LGPD, disponibilizada pela ANPD em seu site, vão ajudar e servir de guia para que possa ter segurança do nível de maturidade da empresa em relação a LGPD e as leis que regulam seu Setor.
E novamente, reforço a frase que iniciamos este comparativo: “Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia”.
Por fim, podemos concluir: só dá para fazer uma implantação da Lei Geral de Proteção de Dados com segurança na sua empresa, se entre outros aspectos o gerenciamento de riscos for considerado antes, durante e depois da implantação da referida lei, porque pelo caminho certo sua empresa vai muito mais longe. E o melhor, em segurança.
Aqui na Hi, todos os nossos processos seguem em conformidade com a LGPD. Caso você tenha alguma dúvida sobre nossos processos, segurança e privacidade dos dados, me disponibilizo para te ajudar. Pode entrar em contato comigo pelo meu LinkedIn mesmo. E se você ainda não conhece as soluções seguras da Hi Platform para seu negócio, convido você a saber mais sobre nossa Plataforma aqui. Até mais!
Se a sua empresa busca otimizar processos e aumentar a eficiência operacional, o conversacional pode…
A IA tomou o mercado, mas isso não é exatamente uma novidade. A inteligência artificial…
Dos adultos que amam adrenalina até às crianças encantadas por Madagascar, é impossível falar de…
Nós piscamos e dezembro chegou para encerrar mais um ano. Mas, antes de abrir o…
O ano está dando seus últimos suspiros mas, por aqui, nós ainda temos novidades para…
O último trimestre do ano já chegou e, antes de pendurarmos piscas piscas na janela,…