Pode parecer que a LGPD veio para punir e muitos estão preocupados com as multas incididas por vazamentos. No entanto, a lei beneficia o País não só do ponto de vista de aumentar a proteção de dados, como também cresce o nível de conscientização da sociedade para a prevenção de incidentes e ataques hackers aos sistemas e qualquer tipo de dispositivo.
Esse foi um dos pontos de discussão durante a 5ª edição do Security Leaders BH, realizado quarta-feira (26/06), no Centro de Convenções The One Business, com a presença de líderes de SI e TI. O tema aqueceu depois da palestra de abertura sobre “Proteção de Dados e a Segurança da Informação”, de Arthur Sabbat, Assessor Militar no DSI/GSIPR.
Nessa jornada de adequações às regras da LGPD, todos concordam que cada setor está num grau de maturidade e avaliar se implementar ferramentas de gestão de dados, assumir o cargo de DPO ou se a TI deve estar no páreo das discussões depende de qual fase a empresa está dentro do plano de ação.
Por onde começar?
“Depende muito da vertical de negócios. O mercado financeiro, por exemplo, tem algumas readequações exigidas pelo Banco Central. Já a vertical enterprise de maneira geral terá um trabalho intenso para a mudança cultural com o objetivo de promover a conscientização de seus colaboradores e terceiros”, observa Alexandre Bonatti, diretor de Engenharia de Sistemas da Fortinet.
No primeiro momento, a maioria das empresas que já iniciou sua jornada optou por contratar uma assessoria jurídica para ter um entendimento mais claro do impacto da lei no seu negócio. Entretanto, esse passo sozinho não está se mostrando suficiente. É necessário avançar para um modelo que avalie os impactos levando em conta a antiga tríade do setor: processos, pessoas e tecnologia.
Para Pedro Nuno, Information Security Officer da B2S Hub, o maior desafio é a implementação das ferramentas, mas antes é necessária uma boa avaliação de risco, dado o envolvimento de recursos e budget para orquestrar esses três níveis processos, tecnologias e pessoas.
No entanto, Rogério Júnior, especialista de Cybersecurity da Localiza, adverte, “não há como proteger se não sabemos onde estão os dados. O Ministério Público tem pegado pesado sobre vazamento de dados, mas a LGPD é mais abrangente. Espero que a ANPD não seja orientada totalmente ao vazamento, mas para proteção e a empresa trate de forma adequada. Para isso, é necessário mudar o mindset e criar uma gestão de dados da empresa”.
Para a maioria dos especialistas, o entendimento jurídico da lei é um passo inicial. Não há como iniciar a jornada sem o mapeamento dos dados, o que demanda tempo, investimento e envolvimento tanto da SI, quanto da TI e da área de negócios. Entretanto, todos alertam para o risco de perder o timing no quesito ferrramentas, já que muitas implementações são complexas e demandam tempo.
O papel do líder de segurança
Nesse quesito, o debate esquenta e as opiniões de dividem. Enquanto alguns acham que o CISO tem um papel de coadjuvante no processo, como integrante de um comitê multidisciplicar, outros acreditam que em muitos casos o líder de segurança está assumindo a dianteira do processo de adequação à LGPD por estar mais consciente, dentro da corporação, dos riscos de não iniciar essa jornada o quanto antes.
Essa liderança pode e deve ser transitória mas muitas vezes ela é necessária em função dos riscos inerentes aos vazamentos sobre os quais a área de SI precisará responder em casos de incidentes. Já no que diz respeito ao líder de segurança assumir ou não o papel de DPO, as opiniões se dividem. Enquanto alguns enxergam nesse cargo a oportunidade de fazer um upgrade de carreira, outros acham que esse papel deva ser desempenhado por um profissional da empresa ou mesmo ser contratado como um serviço.
Pedro Nuno admitiu que já está assumindo esse papel dentro da sua corporação. Segundo ele, é uma oportunidade sim de ampliar os horizontes da segurança e garantir um status mais estratégico no board da corporação, com maior poder para elevar o nível de maturidade e a cultura da organização quanto à proteção de dados.
Para Rogério Júnior, especialista de Cybersecurity da Localiza, a LGPD trata de segurança da informação e isso é fundamental, não que um jurídico não tenha competência para entender isso mas o DPO precisa ter um time multidisplicar muito eficiente junto com ele, não tem como ser diferente, ele tem que ser um CPF. Rogério Júnior não é muito adepto do modelo de terceirização de DPO. “A gente brinca na Localiza que o DPO tem que ter sangue verde”, isto é, entender do negócio e estar apto a tomar decisões rápidas e eficientes.
O papel da Autoridade
Apesar de muitos preconizarem o temor da ANPD, há quem aposte que a Autoridade Nacional de Proteção de Dados funcione como um mecanismo orientativo e não punitivo. Nesse sentido, Sabbat aponta que a LGPD requer uma grande reavaliação de processos, estruturas de TI, maturidade em segurança do ponto de vista de procedimentos e requisitos de SI. Enquanto que a autoridade funcionará como um viés orientativo. O próprio GSI desenvolveu uma estratégia com um planejamento com um cunho de direcionamento às organizações e, segundo Sabbat, servirá para as empresas como um guia de melhores práticas para o cumprimento da LGPD.
“Acompanho a Agência da Espanha há dez anos e eles trabalham de forma de criar os guias e boas práticas e orientações do que se recomenda fazer. Existe a lei e tem vários anexos e cartilhas de apoio e deixaram publicados. Por outro lado, a Agência mantém independência de fazer auditoria e punir. Acredito que esse desenho é bom porque oferece um padrão do como, sem entrar em fabricante ou detalhe personalizado e mantém a independência de atuação”, comenta Rogério Júnior.
Além disso, a LGPD trata mais de 20 vezes a expressão “razoável”. Nesse sentido, a ANPD deverá detalhar o que é razoável para cada situação apresentada na lei. E, embora exista um tabu de caráter punitivo ou até parecer um mecanismo da indústria de multas, a Autoridade já é uma realidade e está em vias de ser sansionada. Enquanto isso, as empresas devem se preocupar com a adequação às novas regras de proteção de dados.
É o que preconiza Nuno, quando diz não estar preocupado se a LGPD será prorrogada e defende que as empresas devem trabalhar com foco na proteção de dados do cidadão. “Se a empresa está cumprindo as medidas e sofreu um vazamento não deve ser punida com todo o rigor. A adequação à LGPD é uma jornada. O intuito é melhorar a maturidade da segurança da informação”.
Até mesmo o governo está se adequando ao novo cenário de ataques cibernéticos, haja vista o caso recente das autoridades da Lava Jato, envolvendo o Ministro da Justiça e Segurança, Sérgio Moro. Nesse caso, Sabbat comenta que o GSI tem um papel preventivo.
“Na semana passada, pela manhã, houve uma reunião onde todos os ministros estavam presentes e o GSI distribui uma folha com recomendações no trato de celulares e mídias sociais para prevenir contra ataques cibernéticos”, comenta quando diz que a ideia é criar uma cultura de como se proteger seguindo as recomendações do GSI. Ele acrescenta que a presidência conta com um celular seguro, onde é inserido um chip criptografado, desenvolvido pela ABIN. No entanto, esse dispositivo móvel só pode ser usado para determinadas situações