A Segurança da Informação como chave para a conformidade com a LGPD

A Lei Geral de Proteção de Dados, LGPD (Lei 13.709/2018), dispõe sobre a Privacidade e Proteção de dados pessoais de Titulares de Dados, os cidadãos. Contudo, a palavra “Lei” geralmente afasta profissionais que não compreendem ainda a importância do tema: “Lei é para advogados”! Nesse caso, há um equívoco, pois sem a disciplina de Segurança da Informação (SI) aplicada à Proteção de Dados, é praticamente impossível alcançar tal objetivo, pois os dados pessoais, em grande maioria, estão em bancos de dados estruturados, o que requer bom emprego de procedimentos e tecnologias apropriadas para protegê-los. É daqui que vamos partir neste pequeno artigo!

Boa leitura!

Medias Técnicas e Organizacionais

A lei de proteção de dados no Brasil, tal como na União e Área Econômica Europeia, determina que as organizações implementem medidas técnicas e organizacionais para que haja garantias de boas práticas de governança e segurança, que assegurem a correta proteção de dados pessoais que estão ou serão processados para se alcançar um determinado objetivo. Agora, vamos compreender:

Medidas organizacionais: A composição de políticas, tais como as de SI e Proteção de Dados, refletem as estratégias da organização para com os tratamentos de dados pessoais. Logo, desenvolver políticas como essas são cruciais para nortear diretores, gestores e colaboradores em geral de uma organização, bem como fornecedores e demais envolvidos. Sem as políticas, não há “normas internas” que devam ser cumpridas, ou ainda, um direcionamento do que deve, pode, não deve e não pode ser realizado. Seria um “faroeste”.

Medias técnicas: A operacionalização do que foi definido nas estratégias e políticas, tais como as de SI e Proteção de Dados, dentre outras, é realizada através da implementação de controles específicos que garantam os requisitos normativos apreciados pela organização. Logo, temos aqui uma grande oportunidade para o emprego de Tecnologia da Informação e Comunicação (TIC), bem com boas práticas de Segurança Cibernética, Governança Corporativa, Arquitetura de Dados, dentre outras disciplinas, além é claro, de controles que não requerem qualquer tipo de tecnologia, como procedimentos operacionais simples a serem seguidos pelos departamentos.

A soma de tudo

Até aqui, é possível notar uma relação clara entre Segurança da Informação e Cibernética com as diversas boas práticas que se devem seguir para que seja alcançada a conformidade com a LGPD. Sendo assim, passamos a considerar um SGSI, um Sistema de Gestão de Segurança da Informação, o qual vai orquestrar tais medidas técnicas e organizacionais, desde a criação de políticas e implementação de controles para se alcançar tais objetivos estabelecidos.

E a Privacidade?

Acontece que a Privacidade, uma vez estabelecido um SGSI, pode ser reforçada através da implementação de controles específicos que garantam que os requisitos legais (e contratuais) impostos pela LGPD sejam alcançados. Temos agora um SGPI, um Sistema e Gestão de Privacidade da Informação, que funcionaria como uma extensão ou complemento do SGSI.

Normativos Internacionais

Com a necessidade de definição e normatização de boas práticas para a SI e Privacidade, a ISO (International Organization for Standardization, ou Organização Internacional para padronização) concebeu, em momentos diferentes, padrões mundialmente conhecidos e aceitos para ambos os temas:

Segurança da Informação: ISO/IEC 27001:2013

Privacidade da Informação: ISO/IEC 27701:2019

Tais padrões possuem as especificações necessárias para a implementação de políticas e demais controles necessários para atingir os objetivos desejados nas áreas específicas regidas pelas normas.

Os profissionais envolvidos

Diversos profissionais estão (ou deveriam estar) envolvidos para com a conformidade das organizações com a LGPD. Destacam-se profissionais de Tecnologia da Informação e de Proteção de Dados, pela lógica de que, “sem Segurança da Informação, não há privacidade”.

Algumas instituições, tal como a Exin®, holandesa, que há mais de 30 anos realiza qualificação e certificação independente de profissionais em diversas áreas de conhecimento, conferem credenciais específicas para a desejada e esperada atuação para a conformidade com as leis de proteção de dados ao redor do mundo, tomando como foco o GDPR (General Data Protection Regulation) e a própria LGPD, bem como para a implementação do SGSI e SGPI.

DPO – Data Protection Officer

Este é o profissional Encarregado de Dados Pessoais que as leis de proteção de dados, tais como GDPR e LGPD, sinalizam como obrigatório (na grande maioria dos casos). O DPO, em geral, é responsável por orientar as organizações quanto aos tratamentos de dados pessoais, ser um ponto de contato entre Autoridades Supervisoras, Titulares de Dados e Controladores (organizações que decidem tratar dados pessoais, mesmo que deleguem a Operadores). Uma carreira em ascensão, com promessas, de fato, uma carreira necessária urgente no Brasil e promissora.

Em alguns casos, ele também é responsável pela implementação do programa de compliance e sua manutenção, o que eleva sua importância, por não apenas ter um papel responsivo, mas estratégico e proativo.

ISO – Information Security Officer

Ao contrário do DPO, o Encarregado de Segurança da Informação – ISO não é responsável pelo programa de compliance com as leis de proteção de dados, mas desempenha um papel importante para tal, pois ele deve escrever as políticas de SI e citar os controles necessários para que sejam cumpridas, tal como sinalizar o nível de sua aplicabilidade e monitorar o SGSI. O Encarregado de Segurança da Informação, embora muitas organizações não o tenham percebido, neste momento de Proteção de Dados e Privacidade possui uma importância tão grande quanto a do Encarregado de Dados Pessoais. É uma carreira também em ascensão.

Como posso seguir a carreira?

O programa de Formação DPO da Exin®, é composto por 3 exames de certificação:

• Privacy & Data Protection Foundation
• Privacy & Data Protection Practitioner
• Information Security Management Foundation based on ISO/IEC 27001

O treinamento é obrigatório apenas no nível Practitioner e deve ser realizado com um parceiro oficial. Para os outros 2 exames,você pode fazer auto estudo mas um bom treinamento é sempre recomendável.

O programa de Formação ISO da Exin® já é um pouco diferente, pois possui algumas opções de trilha:

• Information Security Management Foundation based on ISO/IEC 27001
• Privacy & Data Protection Foundation ou Business Continuity Management Foundation ou Cyber & IT Security Foundation
• Information Security Management Professional based on ISO/IEC 27001

Perceba que existem 2 certificações obrigatórias e 1 a ser escolhida entre 3 opções, totalizando 3 certificações e 1 treinamento obrigatório, o Professional.

Dica:

Para quem tem interesse em seguir a Formação DPO, bastará + 1 certificação (Professional) para se tornar um ISO.

Conclusão

Segurança da Informação e Cibernética andam de mãos dadas com as leis de proteção de dados.

Dificilmente a conformidade com a LGPD passará longe dos requisitos exigidos por um SGSI e SGPI, os quais podem ser contemplados pelos programas de treinamentos e profissionais corretos, como citado acima.

Há com a LGPD, uma oportunidade para novos profissionais e organizações que demonstrarão através da implementação de um programa de compliance, não haver negligência para com os Dados Pessoais de Titulares e demais Ativos de Informação. Por consequência, além da necessária conformidade jurídica, aumentará a confiança de seus atuais e futuros clientes, pela reputação a ser mantida ou desenvolvida, gerando valor agregado para seus produtos e serviços.

Paulo Roberto Deolindo Junior, 38, pai da Ana Clara e Encarregado de Dados da Unirede Inteligência em TI e professor credenciado Exin® na UNIREDE para os treinamentos da Trilha de Formação DPO e ISO.

Perfil Profissional: http://bit.ly/38jj2Jz