Governança de dados: a importância dos comitês de governança e proteção
Por Marcelo Mendes Santos, gerente de TI CISO
da NEO
A Lei Geral de Proteção de Dados (LGPD),
como disposto em seu artigo 5º, determina a necessidade de se deixar claro para
qual finalidade uma pessoa natural ou jurídica, de direito público ou privado,
utilizará dados pessoais. Em qualquer situação, é necessário solicitar o
consentimento de seus titulares e realizar o devido tratamento dos dados. Por
isso, entender e classificar corretamente os dados se torna um processo
importante para estar em conformidade com a Lei e, por consequência, requer a
implementação de políticas, processos e programas apropriados para gerenciar a
forma de coletar, processar, analisar, armazenar, compartilhar, reutilizar e
eliminar esses dados.
Com o intuito de preservar e dar
continuidade às adequações nas empresas, recomenda-se a instauração de um
Comitê de Governança e Proteção como uma estrutura permanente e que siga as
boas práticas das ISOs 27001 e 27701, que tratam do tema de segurança da
informação e privacidade. Muito embora a criação de um Comitê de Privacidade e
Proteção de Dados Pessoais não constitua uma obrigação legal, trata-se, sem
dúvida, de importante instrumento facilitador da promoção de uma cultura de
proteção aos dados pessoais dentro da instituição.
Ao estabelecer um Sistema de Gestão de
Segurança da Informação (SGSI), faz-se necessário definir os papéis e
responsabilidades deste Comitê, cabendo sempre a possibilidade de inclusão ou
de exclusão de integrantes. Os membros são verdadeiros embaixadores da cultura
de proteção de dados pessoais dentro das organizações, sendo importantes
aliados na governança dos dados pessoais. E a tarefa de adequação à LGPD é uma
responsabilidade que deve ser assumida pela organização como um todo,
contribuindo o Comitê de forma especial nesse processo de adequação e
readequação constante às normas aplicáveis de proteção de dados pessoais.
A periodicidade de encontro deste Comitê
deve ser prevista em um normativo de Privacidade e Proteção de Dados Pessoais,
que poderá ser revisado à medida que seus membros entendam que o Programa de
Manutenção está sendo executado a contento. E, neste contexto, é preciso
incorporar ao negócio a Gestão do Ciclo de Vida dos Dados, considerando a
finalidade do fornecimento de seus bens e serviços, devendo considerar os
seguintes pontos:
- A coleta de dados
pessoais deve obedecer aos princípios da necessidade e da finalidade. A
coleta de dados pessoais é realizada, principalmente, por meio das
atividades RH, marketing, portais digitais, projetos e eventos, onde a
necessidade e finalidade de coleta devem estar formalizadas de maneira
clara e transparente para os titulares dos dados. Em relação ao site,
precisam ser realizados ajustes em observância à Lei, para que a coleta
ocorra de forma segura e transparente. Como medidas técnicas, é necessário
proteger os dados coletados por meio de acesso controlado (por usuário e
senha) e criptografar as informações em seu ciclo de
tratamento.
- A retenção do
armazenamento de dados pessoais, independentemente do meio utilizado
(documento em papel, documento eletrônico ou banco de dados) deve ser
efetuada por prazos definidos até que sua finalidade seja alcançada - ou
que a guarda deixe de ser necessária. Os tempos de retenção devem ser
definidos com base no preenchimento do Registro de Tratamento de Dados
Pessoais, que respeita as particularidades da Legislação abrangente para
cada área.
- O processamento deve
ocorrer garantindo a segurança dos dados com as técnicas de controle de
acesso, anonimização ou criptografia dos dados, com revisão
constante do acesso aos sistemas e arquivos que contenham dados pessoais.
- O compartilhamento
dos dados com entidades externas, como parceiros, fornecedores ou
processos de transferência internacional, precisa ser informado aos
titulares dos dados e requer o legítimo consentimento. Para adequação à Lei,
é importante revisar as cláusulas contratuais com essas entidades
externas, a fim de garantir a conformidade. Adicionalmente, faz-se
necessário implementar um Checklist de Segurança de Informação voltado aos
fornecedores, de modo a garantir que seus parceiros considerem as boas
práticas de Segurança da Informação.
- A reutilização dos
dados pessoais só pode ser feita se devidamente acompanhada de um novo
consentimento, principalmente se houver mudança de finalidade. Na
reutilização, é importante evitar a duplicidade dos dados, garantindo a
sua acessibilidade, respeitando a necessidade de acesso e mantendo toda a
sua rastreabilidade e todo o ciclo de vida destes dados.
- A eliminação dos
dados pessoais deve respeitar o término do tratamento. Para tanto, após o
uso destes dados, é imperativo um descarte seguro, que siga diretrizes bem
estabelecidas para a eliminação dessas informações.
O impacto das regras sobre a proteção de dados pessoais é o equilíbrio das assimetrias de poder sobre os dados pessoais existentes entre o titular dos dados pessoais e aqueles que os utilizam e compartilham. Por isso, educar sobre a privacidade e proteção de dados, e tornar isso um exemplo para todas as instituições ajudará a propagar o uso das boas práticas, transformando empresas, organizações e a sociedade como um todo em um ambiente mais seguro para o tratamento de dados pessoais.
Nenhum comentário