A nova Lei Geral de Proteção de Dados, sancionada pelo presidente Michel Temer em agosto desse ano, terá um enorme impacto nas organizações. A legislação garante mais controle dos cidadãos sobre suas informações pessoais e exige, entre outras medidas, o consentimento explícito para coleta e uso de dados. Consequentemente, as instituições se veem desafiadas sobre como se adequarão às novas práticas, considerando o prazo justo (cerca de 16 meses) e a ausência de uma agência fiscalizadora, cujo papel seria instruir organizações a atingirem o maior nível de adaptação. Para tratar o tema, a TVDecision, com patrocínio da McAfee e NetSafe, reuniu líderes de Tecnologia e Segurança da Informação de diversas companhias para debater os efeitos da LGPD nas organizações e novo papel da Segurança nesse contexto.
Primeiramente, a importância do dado hoje para as empresas foi destacada entre os executivos. É graças a ele que as instituições conseguem aperfeiçoar e proporcionar uma melhor experiência ao cliente, além de se destacar competitivamente. “O dado tem uma característica especial, pois é o caminho para descobrirmos mais sobre os clientes”, explica Ticiano Benetti, CISO da Natura. Aliás, foi essa importância que levou autoridades a se preocuparem mais sobre como empresas estavam acessando a vida dessas pessoas.
No entanto, esse processo de descoberta do cliente por meio de cruzamento de dados levou organizações a coletarem cada vez mais informações dos usuários, mesmo se num primeiro momento não fosse usado. O resultado foi um grande acúmulo de dados e novos desafios, como a dificuldade de analisa-los, armazena-los (espaço e custo) e principalmente protegê-los, resultando em inúmeros casos de vazamento.
A (Re)Classificação da Informação
Até então, as empresas acumulavam dados com foco em negócios. Mas a partir de agora, a LGPD exigirá das organizações uma nova postura frente ao tema, forçando-as a repensarem se elas de fato precisarão daquela informação. “As empresas têm muitos dados, acima do que é necessário. A lei irá fazê-las refletirem sobre essa necessidade, afinal, cada vez que se armazena um dado, gastam-se recursos para protege-lo”, explica Marcos Tupinambá, coordenador do Laboratório de Análise de Crimes Eletrônicos da Polícia Civil.
A LGPD traz um peso maior para a questão da proteção dos dados, que acabava sendo ignorada por algumas frentes. “A lei tornou mais clara que não se trata mais apenas de dados diretos, como nome e sobrenome (por exemplo), mas também informações mais indiretas. Ou seja, aumentou o prisma de necessidade de controle e é preciso definir melhor os níveis de proteção, senão o custo fica inviável. Cresceu a complexidade de classificação e trouxe de forma mais explícita o desafio de inventário de dados, que precisa ser mais robusto. As empresas terão que rever essa hierarquização”, opinou Glauco Sampaio, Information Security Manager do Banco Original.
O CSO é o novo DPO?
São tantos os desafios em termos de proteção de dados que muito se especula sobre o perfil do DPO (Data Protection Officer), ou o “encarregado”, responsável pela supervisão do cumprimento das regras previstas em lei e orientar os profissionais sobre como os dados devem ser tratados ali dentro. Aliás, ele quem servirá como o canal de comunicação entre o controlador dos dados, os titulares e a autoridade. Devido ao seu papel no que tange proteção de dados, discute-se se este profissional deveria ser um líder de Segurança.
Para Tupinambá o DPO está próximo ao trabalho de um Ombudsman, afinal, ele se encarregará tanto de garantir a proteção de dados das pessoas como ser o canal de comunicação sempre que necessário. Segundo a opinião dele, ainda é cedo para definir os tipos de habilidades que ele deve ter, porque o parágrafo 3º do Artigo 41 afirma que a Autoridade Nacional poderia definir normas complementares, no entanto, ela foi vetada.
A maioria dos executivos presentes acredita que os líderes de Segurança não devem acumular tais funções, justamente por representar um conflito, mas que é natural o envolvimento da área nesse estágio inicial. “Acho que precisa ser uma função apartada, próxima do setor de governança corporativa”, opina Renato Augusto, gerente de Segurança da Informação do Bradesco. “O DPO terá que ser muito bem assessorado, ter ótimo suporte jurídico e conhecer muito de tecnologia”, complementou Edson Sivieri, diretor de TI e SI da Cushman & Wakefield.
Regras e prazos factíveis?
“O bom disso tudo é o que sempre falamos sobre boas práticas virou lei”, afirmou Bruno Zani, Head of Cloud Security Sales da McAfee. Apesar do veto à agência reguladora deixar uma área cinzenta, o especialista acredita na adesão à nova lei. “Não existe um modelo 100% seguro. Você pode colocar todas as contramedidas possíveis e ainda assim acontecer um incidente de segurança. No entanto, se algo vazou, acredito que de alguma forma isso seja abrandado”, acredita. “A lei exigirá a evolução da área de Segurança, que terá de se adaptar”, acrescentou Carlos Jardim, Sales Engineering Leader da McAfee.
Quem ainda não começou a se preparar é bom correr. Segundo os executivos, o prazo é curto. “Colocar dados sob controle pressupõe projetos complexos e isso não se faz em dois ou três meses”, alertou Ticiano Benetti. “As multas correspondem a R$ 50 milhões por infração. O DPO terá que ir a público assumir o incidente, clientes serão prejudicados, a imagem da empresa será danificada, pessoas podem ser mandadas embora, sua empresa pode ser impedida de operar. Ou seja, tudo isso já diz muito sobre se vale a pena correr os riscos”, observou Paulo Yukio, Legal Security Officer da Ambev.
“A chance de chegar 100% no prazo já é difícil, mas é preciso fazer o melhor para estar o mais aderente possível”, finalizou Glauco Sampaio.