As ameaças cibernéticas estão em constante evolução, assim, novas regulamentações de conformidade são propostas e promulgadas em torno da proteção e privacidade de dados. Manter-se em conformidade não é tarefa fácil para as organizações, mas, a ideia de que a proteção de dados deve ser parte central de todas as práticas de negócios faz total sentido no final.
O objetivo das normas de compliance com a proteção de dados é auxiliar empresas a alcançarem integridade, segurança e disponibilidade de sistemas de informação e dados confidenciais, fornecendo um conjunto de regras e diretrizes que as ajudam no sentido de proteção contra ameaças.
A vigência da Lei Geral de Proteção de Dados (LGPD) tem ligação direta com compliance. A lei determina como as organizações devem colher, tratar, armazenar e utilizar dados de consumidores, colaboradores, usuários em geral de sites e redes, com o objetivo de proteger a privacidade dos titulares deles e evitar o abuso para obter informações, e o uso ou divulgação sem consentimento. O compliance é responsável por garantir que empresas atuem de acordo com a lei e melhores práticas, portanto será também, em grande parte, responsável pela LGPD.
Compliance requer mais do que apenas seguir as regulamentações governamentais. Organizações devem desenvolver políticas e práticas sólidas de segurança de dados para ajudar a prevenir incidentes graves, como violações de dados envolvendo clientes e funcionários. Ter políticas e práticas robustas também ajudar a prevenir possíveis processos judiciais e investigações regulatórias envolvendo segurança de dados, além de ser extremamente positivo para a reputação da empresa.
Com as ameaças crescentes, é preciso conhecer suas obrigações de proteger os dados pessoais e entender os riscos de violação e as medidas necessárias para sanar quaisquer falhas. Um estudo global da IBM revela que uma violação custa US$3,8 milhões (https://thehack.com.br/violacoes-de-dados-custam-em-media-r-5-8-milhoes-para-empresas-brasileiras-diz-ibm/), na média global, para as empresas. À medida que as leis se tornam mais expansivas mundo afora, os riscos de penalidade por descumprimento aumentam drasticamente.
A Europa assumiu a liderança no quesito de proteção de dados com a GDPR, que é abrangente e impõe duras multas às empresas por descumprimento, como processamento ilegal e divulgação de dados pessoais. Inspirada na GDPR e seguindo essa tendência mundial rumo à melhor gestão de dados, surge a LGPD no Brasil.
Uma boa estrutura que garante a privacidade dos dados na sua empresa deve contemplar os seguintes pontos:
Ter uma estratégia global de conformidade – um plano abrangente, integrado, mensurável e centralizado, através de um conjunto de princípios com documentação, definindo medidas que a organização tomará em relação aos dados.
Ter inventário e avaliação de dados e informações pessoais e/ou sensíveis – os dados devem ser identificados e quando coletados e as empresas devem fornecer um método para rastreá-los. Isso ajudará a localizar e proteger adequadamente os dados de acordo com a LGPD.
Estabelecer políticas e procedimentos de proteção de dados – uma organização compatível com privacidade fornece sólidas salvaguardas administrativas, técnicas e de segurança para garantir a confidencialidade, integridade e disponibilidade de dados. Isso inclui a capacidade de detectar e prevenir acesso não-autorizado ou inadequado aos dados. A segurança cibernética deve ser constantemente avaliada, monitorada e atualizada para prevenir novas ameaças. O compartilhamento de dados também deve ter um conjunto rigoroso de controles e políticas.
Ter estratégia e plano de resposta – Ataques e violações acontecem, e o impacto de uma invasão pode ser amenizado com um plano eficaz de resposta. As ações corretivas do plano devem ser implementadas e documentadas como medidas preventivas proativas contra incidentes.
Garantir compliance e conformidade – os planos e processos de compliance devem ser devidamente documentados, rastreando e gerenciando conteúdos como documentos, relatórios e registros. Não basta a empresa saber que está em conformidade com relação aos dados, ela deve estar pronta para apresentar quando consultada sobre o assunto, devendo assim ser claramente verificável e facilmente acessível. A adesão contínua aos princípios de confidencialidade deve ser verificada por meio do monitoramento adequado, uso de controles e até auditoria.
Novas dimensões do cenário tecnológico e empresarial surgem e agravarão as questões envolvidas na proteção de dados. No quesito jurídico, a LGPD surge com requisitos mais rígidos de consentimento, assim as pessoas terão maior controle sobre quais dados são usados e como. Empresas têm de adotar sistemas e métodos de adequação eficientes para cumprir com suas obrigações de gestão e privacidade de dados.
