Implantação de ferramentas de TI
DLP
&
DATA DISCOVERY
FERRAMENTAS PARA O GERENCIAMENTO DO TRATAMENTO DE DADOS PESSOAIS
Após a empresa ser devidamente adequada aos requisitos legais da LGPD, torna-se necessário o gerenciamento dos dados pessoais que trata em cada um dos seus departamentos e processos internos.
Para isso, são necessários a implementação de processos internos para o tratamento de dados pessoais, bem como a utilização de ferramentas adequadas.
Contextualização Legal
A LGPD é uma nova Lei, sancionada no Brasil em 2018 e que passou a viger em 2020, possuindo requisitos Jurídicos, Técnicos e Técnico-Jurídicos, tornando-a única na sua abrangência, exigindo habilidades específicas das empresas na operacionalização das suas devidas adequações.
Dos 10 princípios legais mencionados na Lei, 3 deles referem-se a questões da área técnica, os quais estão descritos abaixo, respectivamente:
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Ferramenta DLP
Solução DLP associada ao mapeamento conveniente de dados pessoais
A fim de que a solução de DLP possa ser utilizada com o foco da prevenção de perda de dados pessoais, é necessário que seja realizado o mapeamento dos dados pessoais tratados pela empresa, a fim de serem conhecidas as informações confidenciais, estratégicas e as que não podem ser divulgadas por força legal (como é o caso dos dados pessoais), para que possam ser devidamente configuradas as regras de restrição a serem implementadas nas máquinas utilizadas pelos colaboradores da empresa, de acordo com os modelos de negócio e necessidades internas de cada departamento ou processo interno.
Mas...
o que significa DLP?
O DLP é uma sigla em inglês que significa "Data Loss Prevention", que se traduz por "Prevenção à perda de Dados".
É uma solução tecnológica criada para atender às demandas atuais de controle, monitoramento e segurança sobre as informações e dados que são tratados internamente pelas empresas, as quais são estratégicas, confidenciais ou que não possam ser divulgados por força legal(como o caso dos dados pessoais), visando mitigar riscos com compartilhamentos de dados/informações de forma acidental ou premeditada, aumentando a segurança com os ativos de informação.
O DLP é uma solução de cibersegurança desenvolvida com o exclusivo objetivo de evitar que dados sejam perdidos de dentro para fora das empresas.
Entre outras características, é uma ferramenta não invasiva e que consome pouquíssimos recursos de máquina. Além disto, todas as informações registradas pelo DLP são criptografadas e somente poderão ser acessadas pelo time de Compliance das empresas se houver algum alarme indicando a possibilidade de tratamento indevido de alguma informação que seja de interesse da empresa.
De forma geral, a ferramenta DLP oferece atendimento integral a parte dos requisitos legais da LGPD, além de conferir ao responsável pelo tratamento de dados pessoais o poder de:
i.) Definir as formas pelas quais os dados pessoais(*) serão tratados internamente pelos colaboradores da empresa;
ii.) Mitigar riscos relativos à perda de dados pessoais;
iii.) Realizar os registros das operações de tratamento de dados pessoais.
(*): Não apenas dados pessoais serão tratados pela ferramenta. Dados estratégicos e dados confidenciais podem/devem também ser gerenciados pela ferramenta.
Ferramenta Data Discovery
Para que as empresas realizem os tratamentos de dados pessoais de forma adequada, é necessário que se utilizem de processos internos bem definidos, bem como que mantenham sempre atualizados os registros sobre os seus tratamentos, independentemente das mídias nas quais estes são realizados.
Além dos referidos processos, as empresas precisarão se valer de ferramentas de TI especializadas, visando regular a forma do tratamento de dados pessoais, evitando eventuais perdas de dados e tratamentos irregulares (DLP), bem como identificar os locais nos quais o tratamento de dados pessoais é realizado, a fim de manter a conformidade Legal.
Uma ferramenta de DATA DISCOVERY (do inglês, "descoberta de dados") tem por objetivo a identificação dos tipos de dados pessoais tratados e os locais dos seus armazenamentos internamente às organizações, independentemente do formato nos quais estes se apresentem, seja na forma de documentos, apresentações ou e-mails.
Ao detectar esses vários padrões de dados, as organizações podem tomar as decisões específicas necessárias, visando a manutenção da conformidade com os requisitos legais da LGPD, de acordo com cada tipo de dados pessoais tratados.
Solução essencial para a manutenção da regularidade do tratamento adequado dos dados pessoais em cada um dos processos internos da empresa
Cada processo interno da empresa que realiza o tratamento de dados pessoais deve possuir o seu rol de dados pessoais tratados registrados, a fim de atender aos requisitos legais da LGPD.
A fim de que se possa aferir se os dados tratados por determinados processos internos são condizentes com os tipos de dados pessoais registrados referentes aos tratamentos executados pelos mesmos, a ferramenta de DATA DISCOVERY também pode ser utilizada, proporcionando ao ENCARREGADO DE DADOS (DPO) aplicar ações corretivas tais como mover temporariamente os dados descobertos, excluir, anonimizar, colocar em quarentena os arquivos de dados, além de apresentar relatórios.
De forma geral, a ferramenta DATA DISCOVERY permite que as empresas realizem o gerenciamento dos dados pessoais tratados, garantindo a conformidade do tratamento de dados pessoais de acordo com os seus registros de tratamentos. Além disso, oferece suporte necessário para a localização de dados pessoais tratados por toda a corporação, para ações de:
i.) Confirmação do tratamento de dados pessoais;
ii.) Cancelamento do consentimento para o tratamento de dados pessoais;
iii.) Realização de atualizações/correções de dados pessoais tratados;
iv.) Realização do descarte de dados pessoais tratados.