A LGPD, ou “Lei Geral de Proteção de Dados” é uma lei baseada na GDPR europeia.

Esta lei foi sancionada no Brasil em agosto deste ano, e se você ainda não olhou para os impactos que ela terá em sua organização, sugiro que o faça com certa urgência. Você tem agora apenas 17 meses para se adequar – e o prazo pode parecer longo, mas NÃO É.

Explico o porquê, bem resumidamente: 

Aplica-se a qualquer operação feita em território nacional de coleta, tratamento, guarda e terceirização de dados realizada por pessoa física ou jurídica, de direito público ou privado e independente do meio utilizado. Veja, isso vale para seus clientes ou mesmo funcionários, tanto para prestação de serviços ou oferta de bens, ou mesmo simples tratamento de dados de terceiros!

Dá para ver que ninguém escapa, não é mesmo? A lei determina uma série de medidas e obrigações que você deve seguir, e a penalidade para o descumprimento é forte:

Advertências ou multas, indo de 2% do faturamento anual até R$ 50 milhões (teto) por infração. E o percentual é aplicado sobre o faturamento da empresa, grupo ou conglomerado no Brasil, o que for maior!

Agora que você já tem clareza sobre o tamanho do problema, vamos ver sobre o que você precisa se debruçar para cumprir a lei.

São basicamente dois aspectos: privacidade e segurança.

Privacidade: os dados solicitados/coletados precisam ter relevância e serem proporcionais/adequados para o tipo de transação que se propõem a viabilizar (isto é, não faz sentido solicitar dados que não são fundamentalmente importantes ao provimento do serviço ou venda de bens relacionados à transação, sob qualquer pretexto de “uso futuro” ou “melhoria genérica”). Ainda, estes dados coletados necessariamente devem ter a permissão expressa do sujeito aos quais se referem. Além de toda a especificidade dos dados e motivo de sua coleta, qualquer mudança no cenário de tratamento dos mesmos ao longo de sua “vida útil” deve ser notificada aos donos destes dados.  

Segurança: é necessário que sua empresa providencie métodos para que os donos dos dados possam gerir os mesmos, isto é, os sujeitos identificados por estes dados devem conseguir acessá-los, alterá-los, apaga-los ou mesmo transferi-los a seu próprio critério. Além disso, sua empresa é diretamente responsável por quaisquer vazamentos ou mau uso dos dados, e portanto precisa se preocupar com pessoas, processos e tecnologia envolvida neste quesito.

Ok. Já temos o tamanho do problema e quais aspectos endereçar. Por onde começar?

É aqui que iremos lhe ajudar:

  1. Iniciamos por uma “Análise de Gap”, a fim de levantar a situação de seus processos e sistemas.
  2. A análise resulta em uma avaliação de onde é preciso agir e o que é preciso fazer.
  3. Com este “mapa” em mãos, passamos à uma revisão técnica/jurídica.
  4. Feita a revisão, determinamos as métricas adequadas pelas quais iremos monitorar os ajustes
  5. Por fim, abordamos as tecnologias que irão viabilizar os ajustes necessários de forma eficaz

Lembre-se que essa informação é muito importante, para sua empresa planejar o valor do orçamento para adequação em 2019 e 2020 (o prazo termina em Ferereiroo de 2020).

Estamos à disposição para ajuda-lo nesta operação, mas não perca tempo, pois a lei JÁ FOI APROVADA e o relógio para sua aplicação está correndo (se você ainda não fez nada, já perdeu um mês inteiro).

Caso tenha interesse em receber uma estimativa inicial para essa avaliação, precisamos receber o questionário abaixo respondido no menor prazo possível (responderemos em até 48 horas):

  1. Já foi definido pelo funcionário responsável pelo tema "privacidade de dados informações" ? E pela adequação ao LGPD ? (podem ser assuntos paralelos mas independentes)
  2. Existe uma Política de Segurança de Informação (PSI) formal ? Caso positivo, ela abrange os seguintes tópicos: privacidade de informações, classificação de informação, controle de acesso à informação, criptografia, política de backup e plano de continuidade de negócios (existem evidências) ?
  3. Existe um processo de mapeamento do fluxo de dados e informações ?
  4. Existe um processo formal para controle dos bancos de dados e seu manuseio ?
  5. Existe documentação sobre a manutenção e controle do processamento de dados pessoais ?
  6. Existe um Código de Ética (ou de Conduta) formal ? Ele possui o tópico relativo à privacidade de dados e informações ?
  7. A empresa já tomou alguma iniciativa sobre a conscientização de privacidade de informações ?
  8. A empresa já realizou um PIA (Privacy Impact Analysis) ?
  9. O Risco de Privacidade faz parte da Gestão de Risco corporativo ?
  10. Quais medidas técnicas existem atualmente para garantir a privacidade (integridade) de dados e informações armazenados na empresa (Pentest, Firewall, Análise de Tráfego, Criptografia, outros)
  11. A empresa possui alguma certificação ISO ? Qual ?
  12. Existe um Plano de Resposta para incidentes de TI envolvendo vazamento de informações ?
  13. Existe um Plano de Crises para minimizar impactos no caso de vazamento de informações privadas ?
  14. A Área Jurídica está habilitada/capacitada a participar do processo de implementação dos requisitos de privacidade no ambiente corporativo da empresa ?
  15. Organograma e uma ideia do Ambiente de TI

 

 

 



Dúvidas Frequentes

O Plano de Contingência é uma resposta formal à uma ou várias ameaças previamente identificadas. Trata-se do "Plano B". O Plano de Continuidade de Negócios vai um passo além, prevendo, planejando e formalizando a restauração ou recuperação da empresa, ao mesmo tempo que executa o Plano de Contingência.

Via de regra, toda consultoria depende do escopo. Cada organização possui uma estrutura diferente, uma exigência de recuperação diferente e um negócio diferente. Desta forma, o custo de um Projeto de Contingência ou Continuidade está vinculado à sua duração e ao detalhamento do mesmo, geralmente definido após a realização de um BIA (Business Impact Analysis)

Trata-se da análise da importância dos Processos ou dos Ativos da Organização, em relação à dependência do seu principal Negócio, baseado nas variáveis de "Custo de Parada" e "Tolerância à Interrupção". Desta forma, quanto maior o custo acarretado pela interrupção do item avaliado e quanto menor for a tolerância à interrupções, maior será sua importância (Criticidade) em relação ao Negócio.

Porque é a melhor maneira de evidenciar o que realmente é importante para a Organização, reduzindo a quantidade de itens que serão considerados no escopo do Projeto. Se um Processo ou Ativo é Crítico, terá sua Contingência e Continuidade avaliadas. Se um conjunto de itens for considerado Crítico, será possível identificar a prioridade de cada um, baseado em referenciais precisos ao invés de opiniões.

Novamente estamos falando do escopo do Projeto. Mas de maneira genérica, um Projeto de Continuidade dura de 60 a 120 dias corridos. Caso o prazo extrapole esta previsão, corre-se o risco das evoluções naturais de todo ambiente corporativo alterar as variáveis identificadas pelo BIA.

Não. Um PCN não impede que o ambiente Corporativo seja afetado pelos riscos que se concretizam. Entretanto, ele permite que os principais Ativos e/ou Processos de Negócios sejam mantidos em atividade ou possam ser recuperados no menor prazo possível, permitindo que a Organização minimize as perdas e possa retornar à normalidade em um prazo muito menor.

Sim. Um PCN poderá ser elaborado também apenas para uma Área ou Processo da Organização. Mas é recomendável que também seja realizado um BIA, para avaliação dos Ativos de TI (ou da Área desejada) de acordo com a dependência pelas Áreas de Negócios. Lembre-se que TI (Informática) "presta serviços" para toda a Organização e que as variáveis de Criticidade devem ser avaliadas pela ótica do Negócio.

Todo Plano de Contingência e de Continuidade bem feito deve prever a realização de testes periódicos. Durantes estes testes, são simuladas situações onde as atividades dos Planos são postos à prova. Neste momento, as "discrepâncias" entre o previsto e o realizado acontecem, permitindo a correção de ações e atualização das ações planejadas. Trata-se de uma "auditoria" em tempo real, onde o resultado é a evolução do Plano, em relação à sua execução.

Sim. Entretanto é recomendável que as atividades sejam supervisionadas por um Consultor experimentado, de forma a garantir que os resultados obtidos sejam consistentes. impedindo que os recursos de tempo e dinheiro sejam desperdiçados. Neste caso, a consultoria poderá acompanhar o planejamento do projeto e a sua execução, permitindo a capacitação dos envolvidos durante a realização das etapas do Projeto.

Qualquer Certificação reflete a preocupação do profissional com sua capacitação. Entretanto, como em qualquer profissão, isso não é garantia de que o resultado do seu trabalho será satisfatório. Avalie os trabalhos realizados pelo Profissional em vista, converse com os responsáveis pelo Projeto nas Organizações onde ele tenha executado Projetos semelhantes e decida com base no perfil de trabalho desejado. Isto poderá ser mais útil na hora de escolher o profissional responsável pelo seu PCN, do que uma Certificação.

Fale com um consultor

Se você precisa de equipamentos,

venha conhecer uma opção vantajosa para seu ambiente de TI corporativo