Depois da Lei Geral de Proteção de Dados (LGPD), o cuidado com o vazamento de dados tornou-se ainda mais crucial para as empresas. Qualquer erro pode comprometer a reputação, causar transtorno para as pessoas - e marcas - além de gerar multas milionárias. Somado a isso, os ataques cibernéticos cada vez mais sofisticados, também colocam em risco as informações que as empresas detêm hoje de seus clientes.
Para proteger o core dos negócios, além de investir em base tecnológica de segurança da informação, é preciso seguir corretamente a LGPD. Luis Santos de Azevedo, gerente de TI da Uze, empresa focada em soluções de crédito para o varejo, ressalta dez dicas para proteger a empresa do vazamento de dados.
1. Adotar a cultura de proteção de dados
Na visão de Luis, o ponto mais importante é investir na conscientização das pessoas em relação à segurança. “No meio digital hoje a forma mais importante de prevenção é a conscientização dos colaboradores, que estão na linha de frente, manuseando dados pessoais em suas rotinas de trabalho. Temos que colocar o assunto na mesa, entendendo que isso faz parte da rotina”, relata.
Luis complementa que a segurança é formada pelo tripé “processos, tecnologia e pessoas'', mas não adianta ter processos bem definidos, ter uma tecnologia de ponta, se não tiver pessoas muito bem treinadas em relação a segurança. “Nós somos o elo mais fraco e o alvo mais vulnerável. É de fundamental importância que as empresas deem atenção às pessoas, e não apenas para processos e tecnologias. Esse é o primeiro pilar para que tenhamos sucesso quando falamos em segurança”, completa.
O treinamento pode ir desde compartilhar textos e postagens sobre a LGPD até a realização de cursos e workshops dentro das organizações;
2. Mapear o fluxo de dados na empresa
Importante para a empresa entender, por exemplo, quais dados pessoais são coletados e por meio de quais canais, onde ficam armazenados, quem os manipula e como que são compartilhados;
3. Adotar framework de privacidade para a organização
Um framework de segurança da informação é uma série de processos que são usados para definir políticas e procedimentos em torno da implementação e gerenciamento contínuo de controles de segurança da informação em um ambiente corporativo.
Com o framework é possível definir um fluxo e priorizar as tarefas necessárias para melhorar a segurança em uma organização. Esse processo traz clareza sobre o que existe em governança de privacidade, reduzindo risco de incidentes e trazendo agilidade de adaptação a prováveis mudanças na regulamentação de leis como a LGPD, o Regulamento Geral sobre a Proteção de Dados - GDPR, a California Consumer Privacy Act (CCPA), uma lei de proteção de dados da Califórnia, nos Estados Unidos, entre outras questões;
4. Avaliar quais dados são coletados e se há embasamento legal
O objetivo é mitigar riscos, avaliando a real necessidade de coletar determinado dado e se o tratamento se enquadra de fato nas premissas da LGPD. Por exemplo, é mesmo necessário coletar dados sensíveis, que são dados relacionados a fatores como orientação sexual, saúde, religião, origem étnica?
“Por isso, é preciso fazer uma avaliação jurídica minuciosa dos processos empresariais para determinar qual a melhor base legal para o tratamento de dados dentro da empresa”, explica Luis Santos de Azevedo, gerente de TI da Uze;
5. Garantir uma comunicação transparente com o titular dos dados
Informe ao cliente como os dados solicitados serão utilizados e o porquê deles serem necessários para a empresa.
É importante ter um canal de comunicação aberto com os titulares das contas, para que os mesmos possam entrar em contato quando tiverem necessidade, como por exemplo para ter informações sobre como e com quem os dados são compartilhados;
6. Criar um comitê de adequação à Lei Geral de Proteção de Dados (LGPD)
Essa é superimportante! Crie um grupo com colaboradores de TI, equipe jurídica, marketing e RH, por exemplo, que trabalham com dados pessoais para acompanhar o processo de adequação à LGPD de maneira mais assertiva. Quanto mais alinhados a equipe estiver, mais eficiente será as práticas que serão adotadas pela empresa, uma vez que essas pessoas escolhidas, transmitirão as boas práticas que serão empregadas;
7. Reforçar sua política de segurança da informação
Faça um diagnóstico da situação de segurança na empresa e ajuste os processos mais vulneráveis que geram riscos aos dados pessoais. Ter na equipe um profissional adequado para essa tarefa é fundamental para evitar erros;
8.Ter um profissional dedicado. Um DPO por exemplo
Esse cargo é uma espécie de fiscal da lei dentro da empresa. O mais comum é ser ocupado por advogados, consultores e profissionais de segurança da informação;
9. Revisar e adequar contratos, políticas de privacidade e outros documentos
De acordo com a LGPD, os titulares dos dados devem ser informados de forma clara sobre os motivos da coleta e do tratamento de seus dados. Inclusive, essa informação deve estar incluída na documentação desses titulares.
Nessa parte da revisão também entra o termo de consentimento, como por exemplo, num site, o usuário deve ter a opção de não aceitar os cookies. Neste caso, deve-se explicar as consequências da negativa (como falhas no funcionamento do site, por exemplo);
10. Estabelecer medidas de governança
As boas práticas garantem que todos na empresa cumpram as leis, criando processos que foquem na análise e controle de riscos. Alguns exemplos são a criação de canais de denúncia, programas de formação contínua, reformulação do Código de Ética e a criação de políticas específicas para determinadas situações.
Mín. 22° Máx. 24°