por Guilherme Barreiro, diretor geral da Nextios
A Lei Geral de Proteção de Dados – conhecida como LGPD – é um avanço na legislação brasileira, uma maneira de proteger as pessoas físicas e resguardar os negócios. Apesar de toda mudança deste tipo vir com um custo para a adequação, essa é no geral positiva para as empresas.
Sancionada em 2018 e entrando em vigor em setembro de 2020, conta com altas multas, que podem chegar a 2% do faturamento declarado no ano anterior pela empresa ou grupo empresarial, limitado ao valor máximo de R?50 milhões por infração. Agora que ela está em vigor a mais de um ano, quais os próximos passos?
Mas mesmo após todo esse tempo, muitas empresas ainda não iniciaram qualquer ação para a adequação dos seus processos aos requisitos da lei. E isso é um grande risco! A lei traz uma blindagem à reputação das empresas, estimulando as melhores práticas e gerando uma camada de proteção extra para esses ativos intangíveis, que são as bases de dados e reputação das marcas.
O que os responsáveis por esses negócios devem entender é que ter conformidade com a LGPD não é uma ação pontual, mas sim uma jornada e uma mudança de cultura, que precisa começar do topo, descer e se infiltrar em todas as camadas da organização.
Essa jornada tem início com o entendimento dos requisitos da lei e a elaboração de um planejamento para responder a esses requisitos; passa por ações que permitam identificar de onde e como os dados são coletados, tratados e armazenados, visualizando todos os processos pelos quais eles transitam; segue com o estabelecimento da documentação da real situação, o desenvolvimento das ações para modificar, ajustar ou criar novos processos, a atualização dos documentos e sistemas envolvidos; continua com a análise dos riscos, com a revisão e adequação das políticas e dos procedimentos de segurança, com a implementação de ferramentas de proteção e criptografia de dados; e, não menos importante, fecha com o treinamento de todos os profissionais da empresa para que entendam a abrangência da lei, suas implicações para os negócios e a responsabilidade que cada profissional tem com relação a LGPD, com os dados dos titulares e a respectiva proteção destes dados.
Apenas depois de toda essa jornada é que, finalmente, será possível implementar a governança de dados para demonstrar que todos os requisitos da lei são atendidos.
E como migrar para a nuvem pode ajudar os negócios nessa jornada? As grandes provedoras de nuvem, como AWS, Azure, Google etc. investem pesado em segurança, com sistemas resilientes e adequados para manter os dados de todos os seus clientes seguros, garantindo que grande parte dos requisitos e implicações da LGPD já sejam naturalmente atendidos.
Porém, os serviços de nuvem trazem o conceito de responsabilidade compartilhada, ou seja, todos os envolvidos são responsáveis pela segurança. Quando a empresa escolhe um destes provedores e migra suas cargas de trabalho, tudo o que é movido para a nuvem a partir da camada do sistema operacional é de responsabilidade da empresa.
Então, desenvolver uma arquitetura baseada nas melhores práticas é indispensável. É preciso conhecer os recursos e serviços oferecidos pelas nuvens e ir a fundo a LGPD.
Boas práticas, como usar os recursos de gestão de identidade, controle de acesso, permissões de usuários, critérios de criptografia, organização das redes e sub-redes e implementar a rastreabilidade das operações são as ações que as empresas devem fazer quando movem suas cargas de trabalho para a nuvem, garantindo assim a segurança e privacidade das informações.
Outro aspecto tão importante quanto os descritos até aqui é implementar a governança e processo de auditoria recorrentes, monitorando continuamente os ambientes de negócios e suas respectivas cargas de trabalho, para detectar desvios e eventuais problemas para aplicar ações de mitigação imediatas.
Enfim, apesar de ser um grande enabler, é fundamental que as empresas deem mais atenção ao que esta legislação determina, estudando os documentos dela e os processos dos seus negócios, avaliando quais tecnologias podem garantir a segurança, a proteção e a privacidade dos dados pessoais.