Introdução
A implementação eficaz da Lei Geral de Proteção de Dados (LGPD) exige não apenas a conformidade com suas regulamentações, mas também uma abordagem sólida de gestão de riscos. Neste artigo, exploraremos a importância de gerenciar os riscos associados ao tratamento de dados pessoais e discutiremos estratégias para mitigar esses riscos, garantindo assim a segurança e a conformidade.
A Importância da Conformidade e da Gestão de Riscos na LGPD
O Programa de Proteção de Dados requer a adequação e gestão de diversas regulamentações da LGPD (Lei Geral de Proteção de Dados). Além disso, um dos principais pontos do Programa é realizar a Gestão de Riscos dos processos de tratamento de dados.
Em relação à LGPD é necessário que o tratamento de dados pessoais leve em consideração o tratamento legal desses dados, respaldadas as medidas de segurança utilizadas. É preciso que o controlador trate de maneira correta e segura os dados pessoais, mitigando os riscos de incidentes.
A Lei determina que os agentes de tratamento de dados adotem medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações ilícitas ou inadequadas. Sendo assim, o controlador e o operador dos dados precisam ter esse controle.
O que são Riscos?
Risco é a combinação da probabilidade de ocorrer um incidente e seu impacto caso venha a acontecer. Dentro do Programa de Proteção de Dados o risco é gerenciado da mesma forma. O risco é algo incerto, que caso ocorra, pode vir a prejudicar ou impedir algum processo.
É essencial que, para cada uma das atividades que lidam com os dados pessoais dentro de uma instituição, os responsáveis realizem a avaliação dos riscos. O risco, frente ao tratamento dos dados pessoais, está relacionado a qualquer ação incerta que venha a trazer alguma circunstância negativa a esses dados, como por exemplo, o seu vazamento.
Riscos Vinculados à Proteção de Dados
Em relação à privacidade dos dados pessoais, é preciso gerenciarmos os riscos. Para cada um dos processos que lidam com os dados pessoais, é necessário examinar se algo pode vir a prejudicar a utilização e tratamento desses dados.
À vista disso, é preciso analisar se o tratamento dos dados está de acordo com a Lei Geral de Proteção de Dados. A Lei traz diversos requisitos necessários para a captação e tratamento desses dados, dessa maneira, segue uma lista de alguns riscos que carecem de atenção:
- 1. Base Legal: É preciso que cada processo de tratamento de dados pessoais sejam justificados por uma base legal, que estão dispostas na Lei Geral de Proteção de Dados, em seu artigo 7°.
- 2. Captação necessária: Quando realizamos a captação de dados pessoais, é preciso que a coleta seja apenas daqueles dados necessários para realização da atividade final, de acordo com a finalidade específica do processo. Os dados não devem ser captados acima do necessário e nem utilizados para outro tipo de finalidade.
- 3. Segurança: Utilize seguranças para o armazenamento de seus dados pessoais. Segurança está relacionada tanto aos dados armazenados fisicamente, quanto, digitalmente. Invista na segurança, proteja os dados pessoais utilizados para o sucesso da instituição.
- 4. Exclusão periódica: De acordo com a LGPD, o dado deve ser excluído após atingir sua finalidade, possuindo o período que deve ser armazenado e depois excluído. O prazo pode diferir dependendo do processo, há algumas atividades que têm o prazo definido por Lei, que deve ser armazenado após obtido a finalidade do uso dos dados. Tudo isso deve ser definido pelo DPO.
- 5. Gestão de operadores: Os operadores são os agentes de tratamento que fazem a utilização e gestão dos dados pessoais do controlador. Sendo assim, é de suma importância a integridade desse operador. É preciso que a empresa gerencie e analise os operadores que vão fazer o tratamento dos seus dados, levando em consideração que o controlador pode ser responsabilizado por qualquer incidente que venha a ocorrer por meio dos seus operadores.
- 6. Revisão: Revise seus processos periodicamente, defina uma periodicidade para as revisões e gestões dos dados. Qualquer controlador pode passar por mudanças, adições ou exclusões de processos durante o tempo, por conta disso, os processos devem ser sempre reavaliados. O mesmo deve ocorrer em relação aos seus riscos, já que com o decorrer do tempo, pode ser alterada a forma de tratar os dados, ou ainda, que novos tipos de ataques sejam descobertos. Sendo assim, tudo isso deve ser revisado de forma periódica, para manter a integridade e disponibilidade desses dados.
Posto isso, podemos verificar que todos os riscos estão dispostos no corpo da LGPD e em suas disposições. Verificando esses e outros riscos que podem vir a surgir no tratamento dos dados pessoais, podemos classificar o seu impacto e sua probabilidade, para observar sua classificação (muito baixo; baixo; médio; alto; muito alto) e dessa maneira definir as prioridades de gestão e mitigação.
Como Mitigar os Riscos para Proteção de Dados Pessoais?
Diante dos riscos destacados em cada um dos processos, é preciso mitigá-los, para diminuir a chance de vir a acontecer um incidente com os dados pessoais tratados pela empresa. Para mitigação há diversas ferramentas e técnicas que podem ser utilizadas.
Primeiramente, a utilização de mecanismos de segurança da informação, como utilização de senhas fortes atualizadas periodicamente, antivírus sempre atualizado, criptografia, firewall, entre outros instrumentos que podem ser usufruídos para essa finalidade.
Outra atividade de mitigação é dispor de controle de acesso, ou seja, transmitir o acesso às informações apenas pelas pessoas necessárias à execução da atividade final, isso pode ser realizado pela equipe de tecnologia, que fará uma autenticação de permissões de cada um dos colaboradores.
Além disso, realize backups frequentes, para que, caso aconteça incidente como perda ou exclusão dos dados de forma errônea, haja como recuperar essas informações. O backup salva cópias seguras das informações da empresa, realizadas em servidor próprio ou em nuvem de terceiros.
Outro ponto importante, executar análises de vulnerabilidade periódica, monitorar e realizar testes de segurança frente ao armazenamento e tratamento dos dados, sempre reavaliando os processos e procedimentos já implementados, visando ter maior controle das informações, sem permitir acessos não autorizados, realizando varreduras por todo sistema, para garantir que as possíveis ameaças sejam identificadas com antecedência e tratadas.
Segurança Física e Controle de Acesso
Além de toda segurança focada no tratamento de dados armazenados digitalmente, não podemos esquecer dos dados físicos, eles também necessitam de um controle e segurança. Sendo necessário também o controle de acesso, o armazenamento seguro, como utilização de câmeras de segurança, alarmes, crachás e outras ferramentas que podem ser utilizadas, para que o acesso seja apenas dos colaboradores autorizados pela finalidade do processo.
E ao fim, não menos importante, treinamentos e políticas. Os colaboradores precisam saber quais são os recursos que podem ser utilizados e como devem ser utilizados. Nas políticas e nos treinamentos a empresa explicita de que forma o colaborador deve agir frente aos processos e tratamentos de dados, já que sem essa indicação muitos não vão saber como colocar as atividades de segurança em prática. Por isso, aplicar treinamentos e políticas ajudam a conscientização da necessidade da proteção e como realizá-la diariamente.
Conclusão
Em um mundo onde a privacidade dos dados pessoais são uma prioridade, a gestão de riscos desempenha um papel crucial na conformidade com a LGPD. Identificar e mitigar os riscos associados ao tratamento de dados pessoais é essencial para proteger a integridade e a segurança dessas informações. Ao adotar estratégias como a implementação de medidas de segurança, controle de acesso e treinamento de colaboradores, as empresas podem fortalecer sua posição de conformidade e garantir a proteção de dados pessoais de maneira eficaz.