Cinco etapas para lidar com uma abordagem integrada para atender aos requisitos da LGPD

Com o objetivo de oferecer diretrizes para que as empresas sejam bem-sucedidas na adequação de suas operações à Lei Geral de Proteção de Dados (LGPD), o SAS, empresa do setor de analytics, apontou como as companhias podem superar os maiores desafios e aproveitar as oportunidades com que vão se deparar para atender às regulamentações previstas pela lei. A nova legislação tem por objetivo aumentar a privacidade dos dados pessoais e o poder das entidades reguladoras para fiscalizar as organizações públicas e privadas na coleta e no uso dessas informações, e passou a vigorar em 18 de setembro último no Brasil.

“A nova definição de dados pessoais é um indicativo do tom dessas novas regras”, afirma Kalliopi Spyridaki, estrategista-chefe de Privacidade do SAS. “Os dados pessoais são considerados ativos cada vez mais valiosos. E as exigências e obrigações acerca desses ativos estão aumentando consideravelmente. Não por coincidência, isso acontece ao mesmo tempo em que computação em nuvem, big data e Internet das Coisas se tornam tendências tecnológicas.”

Para que as empresas possam tirar o máximo de proveito e eficiência em seus negócios a partir da gestão responsável do manuseio de dados, o SAS apontou cinco etapas para que essas possam lidar com uma abordagem integrada no cumprimento aos requisitos da LGPD. Veja:

Acesso 

Para atender à LGPD, as empresas não podem contar com o senso comum ou imaginar onde os dados pessoais possam estar. A regulamentação requer que as organizações provem que sabem exatamente onde os dados estão – e onde não estão. Isso torna importante o acesso a todas as fontes de informação. Independente da tecnologia empregada – bancos de dados tradicionais, dados estruturados e não-estruturados, dados móveis e imóveis – é preciso investigar e auditar quais dados pessoais estão sendo armazenados e utilizados. O acesso irrestrito a todas as fontes de dados é um pré-requisito para a construção de um inventário de dados pessoais que permita avaliar sua exposição ao risco de segurança e aplicar regras de privacidade por toda a empresa.

Identificação

Uma vez que as empresas tenham acesso a todas as fontes de dados, é necessário identificar os dados pessoais encontrados em cada uma delas. Frequentemente, dados pessoais são enterrados em áreas semi-estruturadas. É preciso analisar essas áreas para extrair, categorizar e catalogar elementos como nomes, e-mails, endereços e documentos pessoais. Considerando o volume de dados, esse processo de organização deve ser automatizado. E analisar e classificá los é insuficiente – também é necessário acomodar diferentes níveis de qualidade de dados. Reconhecimento de padrões, regras e padronização de qualidade são elementos essenciais nesse processo. Contar com as ferramentas certas seguramente fará uma grande diferença na capacidade de uma organização de atender ao prazo da LGPD.

Governança  

Compreender dados pessoais começa com a capacidade de definir seu significado e, na sequência, compartilhar esse conhecimento com toda a organização. Para a LGPD, regras de privacidade precisam ser documentadas e compartilhadas entre todas as linhas de negócio. Essa é a maneira de garantir que os dados pessoais só possam ser acessados por aqueles com autorização, com base na natureza dos dados, os direitos associados aos grupos de usuários e o contexto de uso. Para atingir isso, funções e definições devem ser estabelecidas em um modelo de governança. Só então é possível conectar regras de negócio a fontes de dados físicos e estabelecer conjuntos de dados que vão desde a sua criação até o momento de utilização. Isso lhe garante o nível necessário de controle sobre os dados.

Proteção

Depois de estabelecido o inventário de dados pessoais e os modelos de governança, é hora de definir o nível correto de proteção para os dados. As empresas podem usar três técnicas para protegê-los:

• Anonimização: remove dos dados as informações que permitem a identificação e sua associação a um indivíduo;

• Pseudomização: substitui nos dados as informações que permitem a identificação pessoal;

• Criptografia: codifica as informações que permitem a identificação pessoal.

É preciso empregar a técnica apropriada a partir dos direitos do usuário e do contexto de uso – sem comprometer sua necessidade crescente de análise, previsão, investigação e criação de relatórios. O jeito mais fácil de fortalecer a privacidade dos dados é, na verdade, usar o botão de apagar, mantendo apenas aquelas informações primordiais para a execução de processos de negócio essenciais e análises de valor agregado.

Auditoria 

Outro elemento vital da LGPD é a auditoria. Nesse estágio, o regulador irá requisitar provas de que a organização:

• Sabe quais dados pessoais ela mantém e onde eles estão localizados;

• Gerencia corretamente o processo de requisição de consentimento dos indivíduos envolvidos;

• Rastreia e documenta como os dados pessoais são utilizados, quem os utiliza, e com que propósito;

• Tem os processos apropriados em funcionamento para gerenciar o direito do cliente de ser esquecido, comunicado sobre eventuais violações de dados, entre outros.

Implementar a LGPD afetará de maneira geral as organizações. Será necessário voltar à estaca zero e repensar como lidar com dados pessoais desde o momento em que eles são gerados até quando são utilizados. Também é preciso considerar como a estrutura de gestão e governança de dados das empresas suportará os requerimentos da LGPD. 

Deixe uma resposta