* Por Guilherme Barreiro
A Lei Geral de Proteção de Dados – conhecida como LGPD – é um avanço na legislação brasileira, uma maneira de proteger as pessoas físicas e resguardar os negócios. Apesar de toda mudança deste tipo vir com um custo para a adequação, essa é no geral positiva para as empresas. Sancionada em 2018 e entrando em vigor em setembro de 2020, conta com altas multas, que podem chegar a 2% do faturamento declarado no ano anterior pela empresa ou grupo empresarial, limitado ao valor máximo de R$50 milhões por infração. Agora que ela está em vigor a mais de um ano, quais os próximos passos?
Com os membros da Autoridade Nacional de Proteção de Dados (ANPD) já empossados, alguns aspectos da lei devem ser regulamentados ou detalhados para melhor entendimento e aplicação das regras. Mas mesmo após todo esse tempo, muitas empresas ainda não iniciaram qualquer ação para a adequação dos seus processos aos requisitos da lei. E isso é um grande risco! A lei traz uma blindagem à reputação das empresas, estimulando as melhores práticas e gerando uma camada de proteção extra para esses ativos intangíveis, que são as bases de dados e reputação das marcas.
O que os responsáveis por esses negócios devem entender é que ter conformidade com a LGPD não é uma ação pontual, mas sim uma jornada e uma mudança de cultura, que precisa começar do topo, descer e se infiltrar em todas as camadas da organização.
Essa jornada tem início com o entendimento dos requisitos da lei e a elaboração de um planejamento para responder a esses requisitos; passa por ações que permitam identificar de onde e como os dados são coletados, tratados e armazenados, visualizando todos os processos pelos quais eles transitam; segue com o estabelecimento da documentação da real situação, o desenvolvimento das ações para modificar, ajustar ou criar novos processos, a atualização dos documentos e sistemas envolvidos; continua com a análise dos riscos, com a revisão e adequação das políticas e dos procedimentos de segurança, com a implementação de ferramentas de proteção e criptografia de dados; e, não menos importante, fecha com o treinamento de todos os profissionais da empresa para que entendam a abrangência da lei, suas implicações para os negócios e a responsabilidade que cada profissional tem com relação a LGPD, com os dados dos titulares e a respectiva proteção destes dados. Apenas depois de toda essa jornada é que, finalmente, será possível implementar a governança de dados para demonstrar que todos os requisitos da lei são atendidos.
E como migrar para a nuvem pode ajudar os negócios nessa jornada? As grandes provedoras de nuvem, como AWS, Azure, Google etc. investem pesado em segurança, com sistemas resilientes e adequados para manter os dados de todos os seus clientes seguros, garantindo que grande parte dos requisitos e implicações da LGPD já sejam naturalmente atendidos.
Porém, os serviços de nuvem trazem o conceito de responsabilidade compartilhada, ou seja, todos os envolvidos são responsáveis pela segurança. Quando a empresa escolhe um destes provedores e migra suas cargas de trabalho, tudo o que é movido para a nuvem a partir da camada do sistema operacional é de responsabilidade da empresa.
Então, desenvolver uma arquitetura baseada nas melhores práticas é indispensável. É preciso conhecer os recursos e serviços oferecidos pelas nuvens e ir a fundo a LGPD. Boas práticas, como usar os recursos de gestão de identidade, controle de acesso, permissões de usuários, critérios de criptografia, organização das redes e sub-redes e implementar a rastreabilidade das operações são as ações que as empresas devem fazer quando movem suas cargas de trabalho para a nuvem, garantindo assim a segurança e privacidade das informações.
Outro aspecto tão importante quanto os descritos até aqui é implementar a governança e processo de auditoria recorrentes, monitorando continuamente os ambientes de negócios e suas respectivas cargas de trabalho, para detectar desvios e eventuais problemas para aplicar ações de mitigação imediatas. Enfim, apesar de ser um grande enabler, é fundamental que as empresas deem mais atenção ao que esta legislação determina, estudando os documentos dela e os processos dos seus negócios, avaliando quais tecnologias podem garantir a segurança, a proteção e a privacidade dos dados pessoais.
* Guilherme Barreiro é Diretor Geral na Nextios. Com mais de 19 anos no mercado de TI, trabalhando principalmente no lado do provedor de serviços, atua como parceiro para os mais diversos mercados de clientes.