Várias empresas iniciaram a corrida para atender às regulamentações impostas pela Lei Geral de Proteção de Dados (LGPD). Percebo que existe a preocupação em interpretar a regulamentação e aplicá-la ao modelo de negócio, mas e quanto aos dados que devem ser deletados ou protegidos? Ou ainda em relação à utilização de dados não comercializados ou mesmo controlados por terceiros?
Agora, será que nossas áreas de apoio e suporte como Recursos Humanos, Folha de Pagamento, Recrutamento e Seleção, Benefícios, Assistência Médica e Odontológica, Planos de Previdência, entre outras, estão preparadas para este desafio?
Qual sua percepção? Qual sua preocupação? O que estão fazendo para garantir a integridade dos dados dos funcionários? Se comportam como Controladores para prestadores de serviços terceirizados?
Empresas que tratam (Art. 5º; Inciso X) dados de pessoas físicas são denominadas como Controlador, desta forma, este artigo tem como principal objetivo conscientizar gestores e futuros DPOs (data protection officer e/ou encarregado de dados) sobre a gravidade e os riscos de vazamentos de informações de dados pessoais sensíveis, que podem agravar ao máximo as multas em uma empresa, podendo até levá-la à falência.
O Art. 5º da LGPD esclarece a diferença entre dados pessoais e dados pessoais sensíveis:
I – Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Fazendo um rápido benchmark com pessoas da área de RH, posso elencar algumas informações pessoais sensíveis que são tratadas no dia a dia, sendo elas:
● Ficha cadastrais com informações. Ex: gênero, dados de saúde, filiações sindicais e outros;
● Atestados médicos de funcionários (normalmente justificando ausência ou faltas);
● Exames toxicológicos de funcionários;
● Relatórios de Admissão e Demissão de funcionários;
● Dados Biométricos (quando o RH tem a responsabilidade de facilities).
Muitas destas informações são armazenadas de forma física, ou seja, em papel ou pastas suspensas nos conhecidos “arquivos mortos”; de forma digital em sistemas sem os critérios mais básicos de segurança; ou ainda em planilhas Excel, banco de dados Accesses e ou Macros, além dos famosos sistemas de intranet.
Em muitos casos, esses processos são construídos rusticamente com arquivos hospedados em desktops que ficam debaixo das mesas nos próprios departamentos (Shadow IT), e servem como servidores de aplicação ou parte de um processo crítico, seja ele desligamento, solicitação de benefício, adiantamento salarial e solicitação de férias.
A exposição destes dados sem os devidos tratamentos e controles de segurança adequados podem trazer sérios problemas às empresas. Lembrando que a multa é proporcional ao incidente, ou seja, quanto maior for risco de exposição do dado sensível, maior será a multa aplicada.
Sendo assim, é importante que no momento do seu assessment e mapeamento do fluxo de dados das informações do RH, o responsável pela condução do projeto execute, juntamente com o DPO, uma avaliação da maturidade dos processos e ciclo de vida fluxos de dados, bem como uma análise de riscos das aplicações levando em consideração sua arquitetura, modelo de desenvolvimento, vulnerabilidade de código, modelo de integração, comunicação e negócio.
A camada de banco de dados deve ser minuciosamente examinada, permitindo refletir o modelo relacional (existente ou não), sua normalização (existente ou não) além do modelo de dados logicamente criado e aplicado, permitindo assim uma análise mais acurada dos itens de segurança necessários para salvaguarda das informações. Isso se aplica a índices, chaves estrangeiras, definições de campos e registros com valores e formatos corretos, controles de acessos adequados, logs, anonimização ou pseudomização das informações, etc.
Além disso, é importante também implementar medidas que protejam tanto tecnicamente como administrativamente algumas ações, minimizando assim perdas ou indisponibilidade de ativos de informação devido a ameaças conhecidas, geradas tecnologicamente ou por pessoas sem capacitação/conhecimento.
Sugiro a adoção do modelo de Privacy by Design, que aborda a proteção desde a concepção do produto ou sistema, auxiliando nos principais problemas apontados neste artigo. Ou seja, utilizando essa técnica, a privacidade estará presente na própria arquitetura da aplicação, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais considerados e/ou classificados sensíveis pela LGPD.
Espero que este curto artigo traga uma nova visão sobre risco, que pode gerar uma dor de cabeça gigante em caso de vazamentos de dados. Vale ressaltar que não necessariamente é preciso de uma denúncia por parte do afetado para ocorrer uma investigação – basta uma notícia na mídia para que se inicie uma investigação sobre o tema.
Sucesso a todos nesta jornada e até a próxima!
*Alex Amorim é Superintendente de Cyber Security na Conductor