LGPD e TI inevitavelmente acabam se cruzando. Afinal, a Lei Geral de Proteção de Dados traz consigo alguns assuntos como a proteção de dados pessoais e a privacidade. E, por consequência, acaba afetando todos os níveis de uma empresa, seja a equipe de RH, o setor jurídico, a equipe de TI, entre outros.
Ou seja, acaba tratando-se de um compromisso conjunto, onde cada departamento de uma organização se envolve, de acordo com as suas responsabilidades. Mas, nesse texto, vamos falar especificamente sobre os impactos e desafios da LGPD para Prestadores de Serviços de TI, onde uma de suas funções é, justamente, implantar e monitorar os sistemas de controle de dados dos seus clientes.
Contudo, a responsabilidade do prestador não é apenas operacional, mas, também estratégica. Pois, ao contribuir no momento de decisão das tecnologias, é preciso garantir total segurança das informações das empresas atendidas, sem afetar a performance dos sistemas e redes.
Ficou curioso para saber mais sobre esse assunto? Então, acompanhe a leitura e entenda mais!
Os impactos da LPGD na TI! Quais são?
Bom, sabemos que o mundo digital e a tecnologia acabaram transformando os dados e as informações em valiosas moedas de troca para que as pessoas acessem produtos e serviços. Sendo assim, esse assunto foi ganhando uma grande notoriedade no mundo inteiro, sendo debatido por muitos chefes de estado sobre a necessidade da criação de regras regulamentadoras.
E por isso, no Brasil, surgiu a LGPD, com um ar de obrigatoriedade, mas também, para favorecer as organizações e aqueles que entendem o quão é importante ter privacidade com seus dados. Além disso, a Lei Geral de Proteção de Dados não favorece somente as organizações. Mas também, as pessoas físicas e todas as suas informações, sejam elas pessoais ou não.
Ainda mais nos dias de hoje, onde os ataques estão cada vez mais sofisticados e, sendo assim, os Prestadores de Serviços de TI precisam estar atualizados quanto às leis vigentes e garantir que os serviços prestados aos clientes estão em conformidade com tais normas.
Mas, você pode estar se perguntando, onde a LGPD e TI se encontram?
A partir do momento que um MSP fecha o contrato com uma certa empresa, ele recebe dados pessoais desse cliente, através de um controlador. E dessa forma, é preciso seguir as regras que são passadas por ele.
Ou seja, se esse controlador disser que os dados precisam ser apenas guardados em segurança, é isso que ele deve fazer. É muito importante aqui, para a segurança de ambas as partes, que essas regras estejam contratualizadas.
Uma boa alternativa para Prestadores de Serviços de TI, é contar com um DPO (Data Protection Officer). Ele acaba sendo a interface entre os titulares dos dados, a empresa e o MSP, além da autoridade governamental responsável pela LGPD. Assim, o DPO fica responsável por toda essa parte, deixando o MSP livre de preocupações em relação aos dados pessoais fornecidos pelos seus clientes.
Quais são os desafios da LGPD para a equipe de TI?
Resumindo, podemos dizer que a Lei Geral de Proteção de Dados é um projeto de privacidade. Mas, para realizar a sua implantação, a TI acaba enfrentando certos desafios estruturais e, também, de mudanças comportamentais.
Quer saber quais são eles? Abaixo, vamos responder as questões mais frequentes sobre esse tema. Confira:
O MSP tem responsabilidade caso seu cliente sofra com um vazamento de dados?
A partir do momento que uma empresa contrata seus serviços, você estará vinculado com ela contratualmente. Nesse documento, estarão todos os seus deveres em relação à proteção de dados. Ou seja, com as instruções do que a sua empresa pode ou não fazer com essas informações.
Bom, em caso de vazamentos dentro do negócio do seu cliente, o MSP não está diretamente ligado a isso. Afinal, o ocorrido foi dentro da empresa dele. Mas, se a falha aconteceu dentro da infraestrutura do Prestador de Serviços Gerenciados, é preciso realizar algumas ações.
Primeiramente, deve-se realizar um comunicado de vazamento, informar o cliente sobre o que aconteceu e tomar as medidas adequadas. Ou seja, ver a origem da falha, quais foram os dados vazados e, dependendo do tipo de informação vazada, informar a autoridade nacional ou, até mesmo, os próprios titulares dos dados.
Essas atitudes são essenciais para que você possa minimizar as consequências desse vazamento de dados que foi originado dentro da sua infraestrutura. Afinal, casos como esse podem acabar afetando a imagem e reputação do MSP. O maior prejuízo, por hora, pode não ser financeiro e nem a sua reputação, mas sim, a continuidade do negócio do seu cliente.
Em caso de eventuais contatos com dados sensíveis, o que fazer? Qual procedimento devo adotar como MSP?
A partir do momento que você, como MSP, recebe um dado pessoal, é preciso que o seu titular tenha consentimento sobre os fins dessa informação. Tendo isso, não há problemas em lidar com esses dados em estratégias, marketing e outras operações.
O problema surge quando o titular dos dados não quer mais ter o consentimento para a utilização das suas informações pessoais. Sendo assim, você não poderá mais trabalhar com elas, tendo que apagá-las.
Caso o MSP tenha acesso a algum dado sensível sem permissão e de forma não proposital, ele precisa fechar o contato de imediato e informar o seu controlador do ocorrido. Ou seja, reportar a situação para seu cliente, por uma questão de segurança e de cumprimento contratual.
É muito importante sempre manter o princípio da transparência, quando falamos sobre dados sensíveis, na relação entre MSP e cliente.
O MSP necessita de um DPO?
O DPO (Data Protection Officer) é o responsável por atuar na comunicação entre os agentes. Dependendo do volume de dados em sua estrutura, é muito importante que um MSP tenha um profissional desse ao seu lado. Pois, ele pode assegurar que um programa de proteção de dados seja implementado e que ele tenha continuidade.
Além disso, o DPO pode servir como canal de comunicação com outros DPOs como, por exemplo, dos seus clientes. E também, com a autoridade nacional e os próprios titulares dos dados.
Nesse sentido, ele acaba sendo o meio de comunicação com a ANPD (Autoridade Nacional de Proteção de Dados). Em qualquer dúvida ou problema que surja desse órgão com a empresa, o DPO pode resolver. Dessa forma, evitando que o MSP tenha ainda mais essa preocupação em seu negócio.
Não é recomendado que o Prestador de Serviços Gerenciados de TI seja o seu próprio DPO. O Data Protection Officer tem uma série de características próprias como, por exemplo, o amplo conhecimento da LGPD. Assim, contar com um profissional desse em sua empresa, acaba trazendo muitos benefícios, do que você mesmo ter um esforço a mais para desempenhar essa função.
Bom, como você deve ter percebido, esses desafios podem ser muito facilitados com a ajuda de ferramentas certas de monitoração. Por isso, não deixe de pesquisar bem antes de contratar uma solução de TI. Confie apenas em empresas com tradição e que realmente levem a segurança de dados a sério.
Se você gostou desse texto, não deixe de dar uma olhada em nosso Webinar. Nele, você pode encontrar mais informações sobre esse tema!
E se procura por soluções pensadas para Prestadores de Serviços como você, não perca tempo e conheça nossas soluções. Como o N-able EDR, por exemplo, que consegue proteger seus clientes contra ransomware e outros ataques de dia zero.
Visite agora a página do produto e veja como prevenir, detectar e responder ameaças comuns pode ser mais simples e eficiente do que imagina!
Agora que você já leu esse conteúdo sobre os impactos e desafios do LGPD para quem trabalha em TI, confira nosso artigo sobre anonimização de dados e como ela se relaciona com a Lei Geral de Proteção de Dados.
