Por 
A tecnologia vem crescendo dia após dia diante de um mercado exigente pela velocidade do processamento de seus insumos, onde a troca de dados torna-se um abismo cada vez mais profundo quando se trata da segurança da informação. A exposição de dados pessoais vem sendo cada vez mais utilizada para requisições de serviços.
Diante disso, a informação é considerada o principal patrimônio da organização e está sob risco constante. A perda ou o roubo de informações gera prejuízos à empresa. A exemplo, perder todas as informações relativas aos seus clientes, fornecedores ou mesmo aos seus colaboradores, poderia levar a organização a sua descontinuidade.
Neste contexto, a segurança da informação é um assunto pertinente a todo funcionário, independentemente do tipo de organização em que ele atua, dada a similaridade dos riscos que as empresas enfrentam, mesmo se de portes e segmentos diferentes. Dessa forma, a pergunta inicial é:
Como obter a conformidade em relação à segurança das informações?
Algumas empresas possuem processo interno de auditoria. A auditoria interna pode auxiliar a organização em sua governança, antecipando problemas, eliminando duplicidades e identificando possíveis áreas de melhoria de desempenho.
Nos ambientes de tecnologia da informação, a auditoria utiliza recursos de informática para que o próprio computador seja auditado e para automatização dos processos de auditoria. Além disso, o processo visa confirmar se existem controles internos e, em caso positivo, se estes são efetivos.
A auditoria pode ser utilizada como uma ferramenta de gestão, agregando inteligência ao negócio, gerando resultados positivos na operação e nas finanças da organização, além de ser uma base para uma possível mudança organizacional. Sendo assim, auditoria em suma, é uma avaliação do atendimento de critérios das normas ISO.
Entendendo a ISO
Neste contexto, a investigação por falhas nas atividades resultou em modelos e especificações cuja implementação atende às necessidades dos interessados. Existem organizações de normatização que se dedicam a estabelecer modelos para padronização dos processos. A principal entre elas é a ISO.
A ISO (2019), sigla para Organização Internacional de Padronização, é um órgão que já publicou mais de 22.000 padrões internacionais ou documentos relacionados. Esses documentos fornecem especificações de classe mundial para produtos, serviços e sistemas, a fim de garantir qualidade, segurança e eficiência.
A elaboração e a disseminação da versão brasileira das normas ISO são responsabilidade da ABNT, sigla para Associação Brasileira de Normas Técnicas. Essa organização atua na avaliação da conformidade, possui programas para certificações, e é um dos membros fundadores da ISO, da Comissão Pan-Americana de Normas Técnicas – Copant e da Associação Mercosul de Normalização – AMN.
Para auxiliar na auditoria de sistemas de informação, foi criado a família de normas ISO 27000.
A ISO 27000
Ela é composta de, aproximadamente, quarenta normas, com foco na tecnologia da informação, nas técnicas de segurança dessa tecnologia, bem como nos sistemas de gestão da mesma.
As novas ISOs e as revisões recentes das normas antigas baseiam-se na estrutura do modelo PDCA, que é composto por quatro etapas: planejar (plan), executar (do), verificar (check) e agir (act).
Pode-se definir PDCA como uma ferramenta usada para análise e melhoria de processos e do trabalho em equipe. Foi um conceito desenvolvido pela gestão da qualidade, mas que se expandiu para outras áreas, dada sua possibilidade de aplicação a qualquer tipo de gestão.
Do mesmo modo, a ISO 27001 é uma norma de gestão e, por esse motivo, pode-se obter certificação com sua implementação, pois objetiva especificar os requisitos necessários para, entre outras atividades, implementar, operar e melhorar o Sistema de Gestão de Segurança da Informação (SGSI).
É de suma importância que a SGSI seja parte dos processos da organização, estando integrada com os demais processos e também com a estrutura administrativa. A aplicação de uma SGSI é uma decisão estratégica da empresa e sua implementação deve levar em consideração as necessidades e os objetivos da organização. Basicamente, a ISO 27001 trata da implementação de um SGSI de forma contínua.
Além disso, a norma reforça a importância de o SGSI melhorar continuamente e, embora não mais seja obrigatório o uso da metodologia PDCA, ela é um ciclo contínuo, o que propicia a evolução necessária.
Com base nos conceitos apresentados, é possível entender a importância da preparação do ambiente organizacional para vivenciar a LGPD.
Então, o que vem a ser a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi criada e aprovada no Brasil (Lei nº. 13.709 de 14 de agosto de 2018), com base na General Data Protection Regulation (GDPR), realizada pelo Parlamento Europeu, que aplica de maneira uniforme este regulamento a todos os países pertencentes à União Europeia.
A GDPR, que está implementada desde maio de 2018 nos países europeus, tem a intenção de garantir a segurança dos dados pessoais a partir de um conjunto de princípios. Essa regulamentação afeta todas as organizações da União Europeia e também as de fora do bloco que queiram negociar com ele.
A GDPR baseia-se no princípio do consentimento e, para que esse seja válido, é necessária uma declaração – escrita, eletrônica ou oral – registrada pelo titular da informação. É proibida a troca de informação entre organizações sem o consentimento do dono da mesma. A violação de direitos dos titulares dos dados, se confirmada pelas autoridades de controle, gerará a eles indenização.
Outro ponto importante é que os dados pessoais apenas devem ser coletados por organizações para finalidades específicas, explícitas e legítimas, além de que eles devem ser mantidos em segurança e armazenados apenas pelo tempo necessário da finalidade.
No Brasil a proteção de dados era realizada de forma limitada e esparsa, ou seja, sem uma legislação específica, com menções no Código de Defesa do Consumidor, na Lei Geral de Telecomunicações e na Lei de Acesso à Informação.
A versão brasileira vem para determinar e controlar que os dados coletados de indivíduos por empresas sejam resguardados e utilizados da forma estipulada pelo proprietário, oferecendo, neste sentido, liberdade e privacidade aos usuários da rede. Além disso, essa lei afeta todo o tipo de organização que atua no Brasil, independentemente de seu porte, negócio ou origem acionista.
Dessa forma, todos os gestores de organizações devem entender os direcionadores da lei e implementar seus controles, adequando-os às características de seus negócios. Vale ressaltar que a LGPD tem como objeto os dados pessoais, que, basicamente, referem-se a toda e qualquer informação relacionada a pessoa natural, seja ela identificada ou identificável.
Assim, a lei não se aplica a dados anônimos ou anonimizados ou se eles não foram relacionados à pessoa natural. A norma também apresenta e conceitua sobre os papéis relacionados à proteção de dados pessoais.
![[Ebook] LGPD e ferramentas de automação de processos](https://www.neomind.com.br/wp-content/uploads/2021/07/banners-divulgação-blog.png)
Conceitos relacionados à proteção de dados pessoais
| Termo | Conceito |
| Pessoa natural (ou pessoa singular) | Uma pessoa que um dado pessoal pode especificá-la de forma direta ou indireta. |
| Dado pessoal | Qualquer informação, ou o conjunto de mais de uma, relativa a uma pessoa natural identificada ou possivelmente identificável. Nome, CPF, localização e perfil comportamental são exemplos de dados pessoais. |
| Dado pessoal sensível | Dado pessoal referente à origem étnica, convicção religiosa, opinião política, religião, filosofia de vida, saúde, genética e biometria. |
| Tratamento | Qualquer operação realizada com dados pessoais. |
| Controlador | Agente de processamento de dados que realiza o tratamento de dados pessoais. |
| Operador | Agente de processamento de dados que realiza atividades em nome do controlador. |
GDPR x LGPD
Apesar da inspiração no GDPR, a LGPD tem uma importante diferença em relação a sua contraparte europeia: o tratamento da transferência internacional de dados pessoais. A GDPR permite o processo, desde que, além do consentimento dos titulares, a transferência não seja repetitiva, seja para um número limitado de titulares e tenha medidas adequadas de segurança. Já a LGPD não permite esse processo, mesmo que para empresas pertencentes ao mesmo grupo econômico.
Neste contexto, disposto a regulamentar a aplicação da lei foi criado a Autoridade Nacional de Proteção de Dados – ANPD, que será um órgão de administração pública, na qual possui a responsabilidade por zelar, implementar e fiscalizar o cumprimento da LGPD.
Papel da ANPD
A ANPD é a autoridade que avaliará quais países ou organizações internacionais possuem nível de proteção adequado para o processo, bem como definirá os padrões a serem praticados, como, por exemplo, normas corporativas globais, selos e código de conduta.
Sendo assim, a fiscalização do cumprimento da lei ficará a cargo da ANPD. Ela deverá averiguar possíveis vazamentos de dados pessoais. Todavia, isso também poderá ser realizado pela sociedade, que tem como apoio alguns órgãos de proteção ao consumidor, tais como: os PROCONs estaduais, o Ministério Público e as associações de defesa do consumidor.
Papel do DPO
A GDPR expõe a necessidade de um profissional que seja responsável pelo tratamento dos dados internos, neste caso o Data Protection Officer (DPO). O DPO é uma figura estabelecida pela GDPR, e adaptada pela LGPD, como encarregado pelo tratamento de dados pessoais. Trata-se do profissional responsável por acompanhar as demandas relacionadas à proteção de dados pessoais. Ele também é o ponto de contato entre a empresa com os titulares de dados e com a ANPD.
É sugerido pela GDPR e também pelas melhores práticas que o DPO tenha conhecimento e perfil multidisciplinar e que possa opinar em questões técnicas e jurídicas. Sugere-se também que o DPO responda à alta direção da empresa e que ele seja contratado por tempo determinado, a fim de manter a imparcialidade na função.
O DPO precisa ser uma pessoa física, mas não obrigatoriamente deva ser uma pessoa contratada para exercer especificamente esta função na organização. Pode ser um funcionário da empresa que acumule a atividade ou um prestador de serviço identificado, contratado através de outra empresa.
Do mesmo modo, o DPO deve participar das decisões sobre questões relativas a dados pessoais, tanto do tratamento interno, quanto do compartilhamento com terceiros. Adicionalmente, deve emitir opiniões pautadas em seu conhecimento técnico, sem direcionamento da alta direção ou de terceiros. Salienta-se, porém, que o DPO não possui poder decisório.
Acrescenta-se ainda a necessidade do desenvolvimento de um relatório expondo como está sendo realizado o tratamento sobre as questões relativas aos dados pessoais, no qual o Data Privacy Impact Assessment (DPIA) é o documento estabelecido pela GDPR e adaptado pela LGPD, como Relatório de Impacto à Proteção de Dados Pessoais.
Papel da DPIA
A DPIA refere-se a uma documentação com a descrição dos processos de tratamento de dados que podem gerar risco às liberdades civis e aos direitos fundamentais, além de mecanismos e medidas para mitigação de risco.
A DPIA surge de um dos princípios elencados pela LGPD: o princípio da prestação de contas e responsabilidade (accountability). Esse princípio define que os agentes de processamento de dados devem documentar as atividades relativas a dados pessoais. Além disso, e considerando que alguns processamentos de dados podem gerar riscos para os titulares ou para sociedade, a lei determina que o controlador realize o DPIA, caso seja determinado pela ANPD.
Concluindo: como empresas estão se adaptando à LGPD?
A LGPD entrará em vigor em agosto de 2020. Um estudo realizado pela consultoria multinacional Gartner em 2019 prevê que menos de 30% das empresas brasileiras atenderão aos requisitos da lei nesta data.
O descumprimento da lei brasileira pode gerar multa de até 2% sobre o faturamento, com teto de R$ 50 milhões por infração. Por isso, é importante que as organizações se adequem à lei.
Para saber mais, confira o artigo: O que é e como a Lei Geral de Proteção de Dados afeta sua empresa?
