Segurança da Informação e LGPD

Voltar
Segurança da Informação e LGPD Rastek Soluções
Autor: Juarez Fortes Categoria: LGPD, Segurança da Informação Comentários: 0

Segurança da Informação e LGPD

Segurança da Informação e LGPD: A nova Lei Geral de Proteção de Dados traz diversas obrigações relacionadas à Segurança da Informação. Estas obrigações devem ser observadas para que os dados pessoais e/ou sensíveis que as empresas coletam e armazenam estejam devidamente protegidos, conforme o art. 46º do capítulo VII da Lei 13.709/2018 , abaixo transcrita:

 

Capítulo VII – Da Segurança e das boas práticas

Art 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não-autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

 

Além disso, o art.47 diz que essa obrigação de garantir a segurança é de todos os agentes de tratamento da informação ou qualquer pessoa que venha a tratar dados pessoais ou sensíveis, conforme texto a seguir:

 

“Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.”

 

Existem também os princípios jurídicos de “Segurança” e “Prevenção” dentro da LGPD, com a Segurança da Informação inserida em ambos. Desta forma, a LGPD ajuda a garantir a segurança através da aplicação das melhores práticas de mercado e previne a ocorrência de danos em virtude do tratamento de dados pessoais.

Portanto, é possível concluir que a Segurança da Informação é de fundamental importância dentro da LGPD, pois é ela quem proporciona as diretrizes de proteção contra vazamento de dados ou outras situações que possam gerar penalizações, multas ou perdas significativas para o negócio.

 

 

Os Princípios da Segurança da Informação

Antes de adentrarmos mais profundamente na relação entre Segurança da Informação e LGPD, é importante apresentar os princípios da Segurança da Informação abaixo elencados. Esses princípios vêm evoluindo ao longo do tempo, já que inicialmente entendia-se que eram apenas 3: Confidencialidade, Integridade e Disponibilidade.

A Autenticidade e Irretratabilidade foram acrescentados a posteriori. E a última a integrar o time foi a Conformidade, escalada por conta das novas legislações pertinentes ao tratamento de dados que surgiram no mundo todo.

Vamos, então, aos Princípios da Segurança da Informação:

  • Confidencialidade: Permite que apenas pessoas autorizadas tenham acesso às informações;
  • Integridade: Garante a manutenção das condições iniciais das informações de acordo com a forma com que foram produzidas e armazenadas;
  • Disponibilidade: Assegura que usuários permitidos pelo proprietário dos dados e informações possam acessá-los sempre que necessário;
  • Autenticidade: Garante que a informação provém de fonte identificável e não teve alterações. Realiza a identificação e registro da pessoa que envia ou modifica a informação;
  • Irretratabilidade: É a capacidade do sistema de provar que um usuário executou uma determinada ação. Só se pode garantir o não-repúdio quando houver Autenticidade e Integridade;
  • Conformidade (ou Legalidade): Os sistemas de acesso, coleta e armazenamento deverão estar em conformidade com a legislação vigente.

Implementando a LGPD: O Ciclo de Vida dos Dados

Durante a implementação da LGPD em uma empresa, um dos primeiros passos a serem realizados é o levantamento do Inventário de Dados. É importante mapear e definir corretamente o Ciclo de Vida dos Dados Pessoais, desde a sua coleta até a sua eliminação. Afinal, de acordo com a LGPD, um dos princípios jurídicos é a “Necessidade“. Ou seja: a empresa deve coletar apenas dados necessários para a sua “Finalidade“, outro princípio da LGPD.

Essa finalidade deve ser consentida pelo usuário que fornece os dados, quando usada a base legal de “Consentimento” para a utilização do dado. E por fim, o “Uso” das informações deve ser adequado à “Finalidade” informada.

É de extrema importância averiguar em cada Área ou Setor da Empresa quais são os Dados Pessoais e Dados Sensíveis utilizados, bem como a real necessidade da coleta destes dados. Além disso, é preciso garantir que são coletados apenas os dados necessários, além de mapear todo o fluxo destas informações dentro da empresa desde o momento da coleta até a eliminação dos dados.

A Segurança da Informação, neste caso, deve atuar em todo o Ciclo de Vida dos Dados dentro da empresa, desde a Coleta, passando pelo Processamento da Informação, Armazenamento, Compartilhamento, Transferência, Análise e demais operações que podem ser realizadas com dados dentro do negócio.

 

Segurança da Informação e LGPD – Normas ISO

As Normas ISO são estabelecidas pela International Standards Organization ou, em português, Organização Internacional de Padronizações. Este órgão é o responsável pelo estabelecimento das normatizações de padrão internacional a serem seguidas nos mais variados segmentos da ciência e do mercado.

Existem Normas ISO específicas para a Segurança da Informação, e que podem atender à LGPD, GDPR e suas variantes globais. São as normas da “família” 27000, as quais abordarei brevemente nas próximas linhas (e com maior profundidade em posts futuros).

 

ISO 27001

Para atender aos requisitos de Segurança da Informação e LGPD, é importante buscar as normas já existentes no mercado que orientam tal finalidade.

A norma ISO 27001 padroniza os Sistemas de Gestão de Segurança da Informação, e seu nome completo é:  ISO/IEC 27001- Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação – requisitos.

É vista como a base da Segurança da Informação na LGPD, pois ao atender aos controles apresentados e criar os processos apresentados por esta norma, a empresa já terá atendido a grande parte das exigências da LGPD. As empresas que alcancem a conformidade com o padrão ISO 27001 terão um caminho bem mais curto para adequarem-se à LGPD.

 

ISO 27002

Já a ISO 27002 apresenta de forma mais detalhada os controles de segurança existentes no Anexo A da ISO 27001, auxiliando de forma prática a construí-los e colocar em funcionamento o Sistema de Gestão da Segurança da Informação.

Seu nome completo é: Tecnologia da informação – Técnicas de segurança – Guia de Boas prática para controles de segurança da informação – Sem certificação acreditada.

 

ISO 27701

A ISO 27701 veio complementar o assunto privacidade dentro da norma ISO 27001. Como foi criada em 2005, a ISO 27001 que não previa e nem contemplava questões específicas relacionadas à privacidade de dados. Por serem complementares, a ISO 27001 é pré-requisito para que o padrão normativo ISO 27701 seja alcançado.

Seu nome completo é: Técnicas de segurança – Extensão à ISO/IEC27001 e ISO/IEC 27002 para gerenciamento da privacidade da informação – Requisitos e Guias Gerais.

Responsabilidades Primárias na LGPD

Por fim e não menos importante, gostaria de trazer as responsabilidades primárias da LGPD no âmbito de uma empresa.

Abaixo, podemos ver o quadro criado pelo Edison Fontes, profissional especializado em Segurança da Informação e Privacidade.

Neste quadro são apresentadas as responsabilidades primárias de cada profissional ou área da empresa, proporcionando uma visão mais ampla a respeito das responsabilidades no que diz respeito à aplicabilidade da LGPD dentro da empresa.

 

 

Nos próximos posts falarei mais detalhadamente sobre estratégia de implantação da Segurança da Informação, aplicação das normas ISO e ferramentas existentes no mercado.

Continua no próximo post!

 

Como está a preparação da sua empresa para a LGPD?

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Por isso, as empresas precisam correr contra o tempo para adequarem seus processos e infraestrutura de captação e armazenamento de dados para as novas exigências. Esta adequação exige planejamento e execução impecáveis para garantir que o patrimônio da empresa – dados de clientes, colaboradores, fornecedores e parceiros – sejam rigorosamente protegidos.

A Rastek Soluções em TI conta com profissionais qualificados e altamente capacitados nas questões de Legislação, nas questões técnicas de infraestrutura de Tecnologia e Segurança da Informação e também de terceirização de DPO Data Protection Officer! Por isso, não perca tempo: entre em contato conosco pelo formulário abaixo e inicie o processo de adequação da sua empresa agora mesmo!

 


Leia também:

Adequação LGPD: por onde começar?

Compartilhar Post

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Voltar