Não é difícil entender os riscos que as organizações em geral correm quando tratamos de informações corporativas. Os danos causados pelo mau uso de dados (vazamento de informação, acesso indevido, uso não autorizado, perda de dados, etc.), pode ir de prejuízo irreparável à imagem da organização, até bilhões em perdas financeiras por roubo de propriedade intelectual, processos por uso ou divulgação indevida de informações pessoais, crimes cibernéticos e por aí afora. No 3º Setor ainda há o risco de “não conformidade” que pode levar à perda de imunidade.
Casos famosos ilustram esse tema, como o fornecimento não autorizado de dados de usuários no Facebook, os milhares de números de cartões de crédito roubados por Hackers dos servidores da SONY, o ataque ao site da Amazon que derrubou o serviço por algum tempo, a chantagem digital sofrida pelo site de encontros Ashley Madison ou ainda as fotos da atriz Carolina Dieckmann que culminou na criação em 2012 da lei 12.737 apelidada com seu nome.
Tudo isso levou diversos países a criarem leis e órgãos reguladores voltados ao universo digital. No Brasil, além da lei acima que tipifica os crimes cibernéticos, tivemos em 2014 a Lei 12.965, conhecida como Marco Civil da Internet que regula o uso da internet no Brasil com princípios, garantias, direitos e deveres para usuários, empresas e diretrizes de atuação do Estado.
Em 15 de agosto do ano passado foi sancionada a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) que modifica a Marco Civil da Internet e cria uma legislação específica que regula as atividades de tratamento de dados pessoais, aumentando a proteção e privacidade dos cidadãos, em molde muito parecido com o modelo europeu, a GDPR (General Data Protection Regulation – Regulamentação Geral de Proteção de Dados).
O prazo estabelecido para adequação às exigências da LGPD termina em 20 de agosto de 2020, e nesse período algumas regulamentações ainda faltam ser definidas na lei, entretanto é importe que as instituições obtenham mais informações sobre a lei e verifiquem a situação atual da sua SI (segurança da Informação). Com aplicação de boas práticas e gestão eficiente, a aderência à LGPD pode ser menos traumática do que pode parecer, mas nunca menos importante.
E o que efetivamente muda com a entrada em vigor da LGPD?
A LGPD divide as responsabilidades no trato das informações em três grandes eixos:
- Jurídico: a necessidade de, na relação empresa-cliente ou empresa-colaborador, haver explicitamente nos contratos as autorizações para coletar, armazenar e manipular informações pessoais, e a necessidade de transparência quanto ao armazenamento das informações e forma de uso dessas informações.
- Processos: a necessidade de revisão dos processos internos de coleta, tráfego e manipulação das informações para que o acesso às mesmas seja restrito a aqueles que realmente necessitam desse acesso e manipulação, e a criação de processos para que as pessoas possam conhecer as informações que a organização detém, além de poder revogar a autorização de armazenamento e manipulação.
- Tecnologia: a garantia de que há todos os aparatos tecnológicos necessários à proteção foram instalados, configurados, mantidos e são monitorados, para garantir o sigilo, a confiabilidade e a privacidade das informações pessoais dos clientes, custodiados na empresa.
Conhecer nível de maturidade de segurança do seu departamento de TI é um ótimo ponto de partida para criar uma estratégia de alinhamento com a LGPD.
Fica aqui um convite e um pedido para que você responda uma pesquisa sobre o assunto (link abaixo). Essa pesquisa fará parte de um estudo mais completo sobre a situação da SI no 3º setor e ao participar, além de ajudar a alimentar esses indicadores, você receberá uma cópia do trabalho finalizado.
A pesquisa leva em torno de 15 minutos e o simples ato de responde-la já fornecerá subsídios importantes para sua linha de ação.
https://forms.gle/s6MnrEiwpPX1ispMA
Alexandre Nadalutti – Gerente de TI no Instituto das Irmãs da Santa Cruz
Deixe um comentário