Atuando no segmento de Segurança da Informação há mais de dez anos, temos como enfoque, principalmente, a Continuidade Operacional. Agora, com a criação da LGPD, com previsão de vigência para Agosto de 2020, a questão de privacidade e transparência se soma a lista de argumentos em relação a ações de adequação. E por isso surge a pergunta: Por que você deve começar a se preparar para LGPD?
Exemplos de ações para adequação LGPD
Na sequência serão vários tópicos em que procuramos repassar ações relativamente simples e de baixo custo que poderão ser realizadas individualmente ou através de um planejamento visando, em última análise, a Continuidade do Negócio. Portanto, vamos diretamente aos exemplos para que você possa ter uma noção dos tipos de ações abordadas pela Lei:
– No caso de sequestro de dados – situação em que equipamentos individuais ou servidores são invadidos e bloqueados; o desbloqueio somente ocorrerá no caso de pagamento de quantia estipulada pelo invasor. Como sua empresa reagiria? Gestores normalmente respondem que existe rotina de backup e que bastaria efetuar a restauração e tudo voltaria ao normal.
Nessa situação, mais algumas perguntas:
– Você tem certeza de que seu backup está funcionando adequadamente? Quando foi o último teste de restauração?
– Quanto tempo será consumido para que a estrutura retorne à operacionalidade? Esse tempo é aceitável pela sua empresa?
De maneira geral, são efetuados backups dos arquivos e banco de dados e, nesses casos, a restauração do ambiente passa pela instalação do sistema operacional, atualizações, ajustes e configurações específicas da rede interna, do sistema operacional e demais configurações/permissões necessárias para então restaurar os arquivos e disponibilizá-los novamente.
Se todos os recursos necessários estiverem disponíveis (mídia de instalação, hardware, mão de obra qualificada, documentação do ambiente atualizada, dentre outros.), essa atividade demandará cerca de 8 a 12 horas, dependendo obviamente da velocidade de restauração e do volume a ser tratado.
Sua empresa suporta esse prazo?
Em se tratando de prazo, não estamos falando apenas de backup e restauração ou contingência; estamos falando de Continuidade dos Negócios. Além disso, os prazos não se referem apenas a backup e restauração, mas sim de hardware, software, processos e até mesmo pessoas. Focando em termos de Lei Geral de Proteção de Dados, essa continuidade dos negócios pode ser colocada em risco em razão das penalidades que poderão ser aplicadas.
As penalidades na parte financeira, preveem até 2% do faturamento global do grupo empresarial, mas talvez o principal risco seja em relação aos seus clientes, na medida em que a Autoridade Nacional poderá exigir que sua empresa divulgue promova a publicização do fato em suas redes e outros meios, ou seja, é sua empresa informando que não tratou adequadamente dados pessoais. Dependendo do ramo, isso pode ser pior que a multa financeira. Por isso sua empresa deve se preparar para LGPD.
Se somarmos os valores das multas com os prejuízos causados pela publicização do incidente, talvez uma boa parte das empresas possam ter muitos problemas de continuidade operacional. Deste modo, é possível realizar algumas atividades/processos que reduzam esse risco, não apenas para estar adequados a LGPD, mas para permitir que sua empresa reduza consideravelmente os riscos do negócio.
:: Veja também:
– LGPD e Tecnologia
– LGPD e o Cadastro Positivo
– O que são dados pessoais?