Ponto ISP

Três aspectos cruciais que a agenda regulatória da ANPD traz à tona

Por Diogo Fernandes*

Foi publicada recentemente pela ANPD (Autoridade Nacional de Proteção de Dados) a agenda regulatória para o biênio 2021-2022. O órgão, referência nacional para a proteção de dados pessoais, dá um importante passo para informar e doutrinar toda a população do País sobre a importância da Lei Geral de Proteção de Dados: não se trata somente de adotar as mais eficientes soluções de software e firewalls, mas também é um extenso trabalho de “catequização” de departamentos de TI, colaboradores, usuários, profissionais de segurança e toda e qualquer empresa que lida, diretamente ou indiretamente, com informações pessoais dos mais diferentes níveis, desde o CPF até registros bancários.

PUBLICIDADE

Com isso, companhias de pequeno, médio e grande porte devem ter atenção redobrada não só em seus processos, mas também na necessidade de educar os colaboradores e contar com provedores de serviços capazes de acompanhar implementações a distância e com segurança e vigilância em todas as etapas do projeto.

A educação ‘vem de casa’

Como explicado anteriormente, não basta contar com as mais sofisticadas soluções em cibersegurança, se as brechas para os cibercriminosos surgirem de dentro para fora. Devido ao atual cenário, muitas empresas não conseguiram – por diversos fatores – prover as ferramentas necessárias para que os colaboradores possam desempenhar seu trabalho corretamente de forma remota. Por isso, muitos departamentos de TI tiveram – e estão tendo – de “trocar o pneu com o carro andando”. Além dos problemas triviais, como conexões deficientes, equipamentos incompatíveis e migração para a nuvem, há também um problema muito sério e que não recebe tanta atenção quanto merece: o Shadow IT.

O Shadow IT acontece quando o colaborador, na falta da solução adequada para poder realizar seus processos durante o home office, busca aplicativos, aplicações e programas por conta própria e, muitas vezes, as chamadas “versões beta”. Com isso, ele coloca em risco não somente os próprios dados pessoais armazenados em sua máquina, mas também todos os dados sensíveis da empresa, dos clientes, de outros colaboradores etc.

Esse cenário reforça muito a importância do departamento de TI trabalhar em conjunto com os recursos humanos, a fim de oferecer treinamentos e workshops para que todos, independentemente do cargo, saibam da responsabilidade em lidar com dados de terceiros de forma remota e fora do ambiente corporativo.

‘Guardiões’, não ‘donos’

Outro aspecto que a LGPD vem mostrando às companhias é que o respeito aos dados de clientes e fornecedores traz também uma mudança na própria mentalidade: infelizmente, muitos negócios se viam como “donos” dos dados, achando-se no direito de usá-los para seus próprios interesses, como alimentação de bancos de dados. Com uma regulamentação rigorosa, esses mesmos negócios agora percebem que não são os “donos”, mas sim os “guardiões” dos dados dos clientes: cabe a eles não utilizá-los como bem entenderem, mas sim protegê-los e mantê-los seguros contra ameaças e ataques, para que os usuários e fornecedores possam desfrutar de seus serviços de forma segura e, agora, dentro da lei.

De ponta a ponta

Quando as empresas contratarem provedores de serviços, cujos processos envolvem dados sensíveis (fornecedores de cibersegurança, soluções para trabalho remoto, contabilidade etc.) é de suma importância garantir que haja o acompanhamento de toda a implementação e backup de dados. Não adianta contar com os serviços “até a página dois”: o contratado deve assumir um papel verdadeiramente de consultor, esclarecendo dúvidas, adaptando os processos, levando em conta os que já existiam e adotar uma mentalidade de “passo à frente”: cuidar para que todo o andamento seja realizado por uma equipe multidisciplinar, que aborde segurança, tecnologia, legislação e recursos humanos – todos departamentos direta ou indiretamente ligados à proteção dos dados. Uma empresa que tenha expertise em todos esses campos, naturalmente sairá na frente nos quesitos preparo e adaptação para cumprir a os itens da agenda regulatória da melhor maneira. É a integração e o acompanhamento de ponta a ponta que garantirão a fluidez necessária para que todo e qualquer processo que envolva dados supra as necessidades específicas de cada cliente.

Ao ter em mente os três aspectos enumerados acima, qualquer CIO já terá dado o primeiro e importante passo para adequar sua companhia à agenda da ANPD e, consequentemente, assumir uma posição de excelência no que diz respeito à LGPD.


* DPO do Grupo Skill

Sair da versão mobile