EXIN / Resources / Desafios do Encarregado de Dados com relação à cultura das organizações no Brasil

Desafios do Encarregado de Dados com relação à cultura das organizações no Brasil

Paulo Baldin & Ronaldo Andrade

A implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil é um marco importante para a segurança da informação e proteção de dados no país. Entretanto, a cultura de privacidade das organizações brasileiras em relação à proteção de dados tem sido um desafio significativo para os DPO’s (ou encarregados de dados). Além disso, a falta de recursos e o comprometimento da alta administração também são obstáculos a serem superados.

CULTURA ORGANIZACIONAL

Uma das principais dificuldades enfrentadas é a ausência de uma cultura de privacidade nas organizações e na sociedade em geral. Muitas empresas ainda não possuem uma cultura que valorize e implante em seus processos o tema da proteção de dados, tornando difícil para os encarregados de dados (DPOs) adotar as medidas necessárias para cumprir as exigências da LGPD e outras regulações. O DPO muitas vezes age sozinho, criando processos, seguindo frameworks e metodologias e criando pontes de relacionamento com outras áreas. Ele é o defensor da privacidade de dados pessoais dentro da organização e sua principal responsabilidade é implementar uma cultura de proteção em todos os níveis – gerencial e operacional.

Além disso, ele é responsável por monitorar, inspecionar outras áreas, propor ações preventivas e reativas, muitas vezes lidando com colaboradores sem a necessária compreensão sobre a importância da proteção de dados e, consequentemente, não seguindo as políticas e procedimentos estabelecidos pela empresa. Os DPOs enfrentam outro desafio significativo: a falta de recursos para implementar as medidas necessárias. Em muitas organizações brasileiras, não há um departamento dedicado à segurança da informação, o que torna difícil cumprir os requisitos da LGPD, pois sem a área citada os desafios para implementar, controlar e mitigar pontos de tecnologia se tornam muito maiores.

MEDIDAS DE SEGURANÇA

Como ponto cerne de um processo de segurança e privacidade temos os fatores: as estratégias de backup & recuperação de desastres, as políticas de autenticação & controle de acesso, as ferramentas de prevenção contra ameaças, a segurança e acesso ao ambiente físico, atualização de sistemas e softwares, hardening. Para superar esse desafio, os DPOs precisam lutar para obter os recursos necessários para implementar medidas de segurança eficazes, ao mesmo tempo em que enfrentam a resistência interna à mudança cultural.

Um dos desafios enfrentados pelos DPOs é a proteção dos dados de sua organização, clientes e colaboradores contra exposição indevida. Com tantas empresas compartilhando dados de clientes e colaboradores, pode ser difícil controlar a segurança dos dados. Além disso, muitos dados já foram expostos em grandes vazamentos, como os mais de 223 milhões de informações de pessoas vivas e mortas que continham dados básicos (nome, data de nascimento e endereço), endereços, fotos de rosto, score de crédito, renda, cheques sem fundo e outras informações financeiras, imposto de renda de pessoa física, escolaridade, benefícios do INSS) que foram expostos em 2021 pelo hacker conhecido como “JustBR”.

Os DPOs precisam garantir que esses vazamentos não causem um efeito cascata em sua base de clientes e fornecedores, especialmente se os clientes usam as mesmas credenciais de login para diferentes portais e aplicações. Essa proteção requer medidas eficazes de segurança, utilizando os principais frameworks de mercado como NIST, CIS, ISO27001 aplicando-os nos domínios de como: Controle de Acesso, Arquitetura de Segurança em Rede e Telecom, Criptografia, Segurança em Aplicações e Segurança em Operações e uma cultura de proteção de dados entendida e absorvida na organização.

PLANO DE CONTINGÊNCIA E CAPACITAÇÃO DAS EQUIPES

Considerando os desafios enfrentados pelos encarregados de dados (DPOs), é importante destacar a necessidade de se ter um plano de contingência ativo, testado e devidamente documentado para vazamento de dados, mesmo com a implementação de uma cultura preventiva. Apesar de seus esforços para proteger os dados, existe a possibilidade real de um vazamento ocorrer, seja intencional ou não. No mercado sempre se fala que não se trata de como, mas de quando teremos o próximo vazamento de dados. Portanto, é crucial que sejam estabelecidos processos robustos e tenhamos a implementação de ferramentas para detectar sinais de vazamento e, quando necessário, agir rapidamente para minimizar os danos.

É comum que dados vazados acabem na Deep e na Dark Web, em fóruns criminosos que comercializam essas informações, o que torna o processo de detecção ainda mais difícil e praticamente inviável de remoção. Em muitos casos, o vazamento só é descoberto após semanas, meses e quando é exposto pela imprensa ou descoberto pela empresa de forma tardia. Implementar a cultura de Privacidade para atender a LGPD no Brasil pode ser um desafio devido à cultura das organizações locais. Algumas organizações não valorizam a proteção de dados e, consequentemente, não investem recursos nesta área. Além disso, a falta de conhecimento e qualificação sobre a Privacidade e Proteção de dados pode dificultar a implementação das exigências da Lei.

Os encarregados de dados (DPOs) muitas vezes têm pouca experiência em proteção de dados ou segurança da informação, o que dificulta sua compreensão e implementação das exigências da LGPD. Portanto, é crucial fornecer formação e treinamento adequados aos DPOs para ajudá-los a enfrentar esses desafios. Também é importante que as organizações treinem e conscientizem seus colaboradores para garantir a conformidade com a lei. Em resumo, o encarregado de dados enfrenta muitos desafios na implementação da LGPD, incluindo falta de conhecimento, prioridade, recursos, cultura e mudanças de comportamento.

DESAFIOS TÉCNICOS

Embora haja muita discussão sobre todos os pontos acima, vamos nos concentrar nos desafios técnicos como por exemplo: (i) implementar o embaralhamento dos dados na base de desenvolvimento e homologação para testes e novas implementações; (ii) realizar a anonimização parcial dos dados exibidos para os colaboradores em suas atividades diárias; (iii) restaurar backups “puros” após a aplicação de ajustes nos dados em ambiente produtivo; (iv) investigar caixas de e-mail ou pastas contendo arquivos de colaboradores que frequentemente contêm dados pessoais sensíveis, como exames médicos; e (v) realizar verificação de antecedentes de colaboradores, parceiros e fornecedores, uma vez que a essência do processo envolve dados pessoais.

Com esses desafios em mente, mais do que nunca, o encarregado de dados (DPO) precisa criar uma união entre as áreas de controle da organização (por exemplo, Compliance, Segurança da Informação, Controles Internos, Jurídico) para definir juntos as diretrizes, políticas e processos necessários para implementar e manter os controles de privacidade e proteção de dados em conformidade com as regulamentações setoriais. É importante que as áreas de negócio entendam que esses controles são necessários e não meramente obstáculos.

REGULAMENTAÇÃO

Recentemente em fevereiro de 2023 foi publicado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que no final do dia é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator, sendo este item mais uma pitada no desafio dos encarregados de dados (DPOs).

Em março de 2023  foi publicada uma lista atualizada dos processos administrativos sancionatórios instaurados pela Coordenação-Geral de Fiscalização, contendo informações sobre o nome do órgão público ou empresa privada, a conduta realizada, o setor de atuação do ente fiscalizado, a fase do processo e o número do processo aberto na ANPD.  O trabalho dos encarregados de dados (DPOs), que já era dificultado pela falta de apoio da alta administração para emplacar as melhorias necessárias, enfrenta agora uma nova fase com a publicação do Regulamento de Dosimetria e direcionamento sobre como a ANDP vai iniciar as fiscalizações e aplicações de sanções, aumentando ainda mais a responsabilidade do DPO.

Em resumo, implementar a LGPD requer o comprometimento de toda a sociedade, e sem esse apoio, é difícil para os DPOs obter o engajamento necessário para implementar as mudanças culturais e de processos necessárias para cumprir as exigências da LGPD. Portanto, faz-se necessário o comprometimento de toda a empresa e o apoio dos líderes, para que se crie uma cultura de privacidade e segurança da informação que atenda às exigências da LGPD e outros regulamentos, envolvendo uma mudança de comportamento organizacional de todos os colaboradores da empresa, incluindo a forma como lidam com dados pessoais.

Artigo gentilmente cedido ao EXIN por:

Paulo Baldin CISM, CDPSE, DPO, ISO27001 LA –  Head de Segurança da Informação (CISO) e Proteção de Dados e Privacidade (DPO) na Stark Bank
Ronaldo Andrade – CISO na Horiens Risk Advisors
          E aproveite para conhecer alguns programas de certificação ligados ao tema deste artigo:

Artigos relacionados