Ultimamente, conversando com vários amigos CISOs, vejo grandiosos trabalhos que estão sendo empreendidos na jornada da LGPD. Muitos investimentos estão sendo aplicados nas diversas camadas (Endpoint, Servidores, Rede Interna e Perímetro).
Segundo a LGDP a empresa contratada pelo titular PF “pessoa física” tem a denominação de Controlador enquanto as empresas terceiras contratadas para apoio nas atividades são consideradas Operadores. Estas empresas terceiras podem prestar alguns serviços como: Data Center, Cloud, Processadores de Pagamento, Gestores de Contratos, Sistemas SaaS de RH, Empresas de Cobranças e várias outras atividades.
Com base na Lei Geral de Proteção de Dados 13.709 de 14 de agosto de 2018 no Art. 5º Para os fins desta Lei, considera-se:
VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Entendendo os conceitos acima, vem as perguntas que estão tirando o sono de diversos CISOs; Será que meus operadores estão tendo a mesma preocupação como eu? Quais formas possíveis para monitorar os terceiros que prestam serviço para minha empresa?
Vale ressaltar a grande onda de demandas internas que esse ciclo de avaliação de terceiros vai gerar dentro das empresas; Vai ser necessário criar um departamento de respostas de checklists? Se toda as empresas começarem a se questionar sobre os processos de segurança entre si, os CISO´s terão que mudar seus objetivos estratégicos? Terão braço? Terão dinheiro?
Sabemos que hoje para ganhar agilidade e viabilizar novos negócios é praticamente inevitável a contratação de parceiros para compor o Ecossistema das empresas.
Desta forma, como sugestão recomendo a classificação dos terceiros de acordo com o nível de informações pessoais manipuladas pelos parceiros podendo assim, iniciar um uma classificação de 3 níveis:
- Baixa ou nula manipulação de dados pessoais;
- Moderada manipulação dos dados pessoais; e
- Alta manipulação de dados pessoais sensíveis.
Desta forma, é possível classificar e diversificar os tipos de análise que serão aplicadas em cada parceiro de acordo com a criticidade das informações processadas. Entendo que para a classificação precisamos levar em consideração dois fatores: Se há troca de informações pessoais entre as empresas ou não. Se há, a classificação acima se aplicaria. Se não, a classificação poderia usar outros critérios.
E nos casos de haver troca de dados pessoais, uma sugestão de classificação seria por volume e/ou por frequência nos processos de troca/processamento. Se a principal preocupação é o vazamento de informação e o impacto ao Titular, quanto maior a quantidade e a frequência de troca entre controladores e/ou controlador/processador, maiores os riscos (probabilidade e impacto).
Pois bem, com esta separação/classificação básica e recomento 5 formas avaliação de Terceiros (Operadores) que podem ser rápidas e mais profundas de acordo com a classificação realizada acima, vamos lá:
- Utilização de ferramentas automatizadas que podem dar um score não intrusivo das empresas avaliadas. Desta forma, basta adicionar a URL do parceiro onde é possível ter uma nota do nível de segurança do parceiro baseado em dezenas de indicadores. Hoje estas ferramentas estão sendo largamente utilizadas por Bancos e Seguradoras para ter um score de parceiros e assegurados.
- Utilização de check-list automatizados de grandes soluções de GRC (Governança, Risco e Compliance) que proporciona um self-assessment do próprio terceiro para aferir o nível de segurança baseado em melhores práticas de mercado.
- Avaliação in-loco dos itens respondidos pelos parceiros afim de realizar um doble-check com uma visão diferente sobre os itens avaliados.
- Fast Assessment LGPD nesta modalidade o Controlado poderá avaliar de forma rápida qual o nível de conformidade do operador frente a LGPD. Podendo assim, apresentar quick wins para uma implementação mínima da lei.
- Assessment LGPD neste caso o controlador terá uma visão detalhada dos controles da LGPD em seu operador. Podendo atribuir de forma detalhada quais os itens que espera para continuação da prestação de serviços.
Conforme apresentado acima existem várias formas de realizar uma análise em seus operadores cabe aos gestores de segurança definir qual estratégia deve ser adotada em seu ambiente. Importante citar que um mix dos modelos acima são super bem vindos para comprovar o grau de monitoração sobre os parceiros.
Neste contexto, gostaria de lembrar a abordagem do Ministério Público Federal à Telefônica | VIVO. Os questionamentos do ministério público são inspiradores, no sentido de ajudar à Controladores e Operadores a se prepararem minimamente para terem as seguintes respostas:
O Relatório de Impacto à Proteção de Dados Pessoais deverá conter os seguintes tópicos:
1 – Como a organização descreve o tratamento de dados realizado;
2 – Como a organização avalia a necessidade e proporcionalidade do tratamento de dados;
3 – Como a organização identifica e avalia os riscos;
4 – Como a organização identifica e mitiga os riscos;
5 – Conclusão do Relatório de Impacto à Proteção de Dados Pessoais
6 – Assinaturas dos Responsáveis pela Elaboração do Relatório de Impacto à Proteção de Dados Pessoais (Encarregado/ Data Protection Officer – DPO ou Diretor da Organização)
Então, a abordagem de avaliação de terceiros quanto à conformidade com a LGPD, poderia ser: Ajude o seu fornecedor /parceiro à ter esses levantamentos, análises, informações à mão. Ao invés de esperar que você cobre, eles (os processadores, parceiros, fornecedores) que têm a obrigação legal de estarem em conformidade, poderiam se adiantar fazendo suas próprias avaliações e apresentando Planos de Ação para adequação, já que, neste momento, ninguém estará totalmente conforme.
Vários controladores da UE (União Europeia) acabaram trocando seus operadores após solicitar controles mínimos aos processadores e os mesmos não cumprirem com as demandas, será que isso acontecerá no Brasil?
Espero que este artigo ajude nesta longa jornada da LGPD e como sempre tenhamos possibilidade de demostrar para as autoridades em um caso de vazamento que estamos fazendo o possível e impossível para aumentar nosso nível de segurança. Até uma próxima e muito sucesso nesta jornada!!!
*Alex Amorim é CISO e DPO