Arquitetura Corporativa e Proteção de Dados Pessoais

Postado em 21 de fev. de 2017 por Antonio Plais

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign – Tradução e adaptação autorizada

A Lei Geral de Proteção de Dados Pessoais (LGPD) pretende transformar completamente a forma como as organizações lidam com os dados pessoais de seus parceiros e, por consequência, a própria forma como elas se relacionam com eles. Ela consolida, reforça e cria vários deveres e direitos, muitos deles já presentes em outros marcos legais e, principalmente, fornece as bases legais para um relacionamento mais equilibrado entre as empresas que processam e armazenam dados pessoais e os indivíduos que são, em última instância, os legítimos proprietários de seus próprios dados. Você está consciente do impacto que a LGPD terá sobre a sua organização?

Aqui estão 7 coisas que você deveria saber sobre a LGDP

1. A LGPD se aplica a todas as empresas que processam dados de indivíduos no Brasil

Mesmo que a empresa não esteja localizada no Brasil, a LGPD pode ser aplicável a ela. Como declarado no Artigo 3, ela “se aplica a qualquer operação de tratamento … realizada em território nacional; …. destinado à oferta de serviços e produtos … para indivíduos localizados no território nacional; …. ou cujos dados tenham sido coletados no território nacional”. Isso implica que, com algumas exceções previstas na Lei, praticamente qualquer empresa que processe dados pessoais de indivíduos no Brasil está sujeita às suas normas, requisitos e penalidades.

2. A LGPD tem a ver com demonstrar a conformidade

Além de estar em conformidade, você também deve demonstrar conformidade. O Artigo 6, Inciso X, declara: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Os arquitetos corporativos estão particularmente bem-posicionados para ajudar suas organizações a demonstrar que elas estão conformes. Alavancando seus modelos de arquitetura para propósitos de privacidade e segurança, os arquitetos podem fornecer análises transversais sobre o uso e a proteção dos dados através da empresa, seus processos, pessoas e sistemas de TI..

3. A LGPD espera que você registre o propósito da coleta de dados pessoais

Você deve registrar o que você faz com os dados pessoais e para qual propósito (Artigo 37). Isso inclui coisas como: Em quais locais os dados pessoais são armazenados? Quais aplicativos os utilizam? Quem tem acesso a esses aplicativos? Com quais terceiros fazemos compartilhamento? Onde eles estão localizados? etc. Procedimentos de conformidade existentes muitas vezes tentam capturar isso usando planilhas e outros documentos do tipo Office, mas isso rapidamente se torna impossível de gerenciar. Os arquitetos podem desempenhar um papel fundamental na simplificação de procedimentos, uma vez que seus modelos de arquitetura geralmente contêm muito do que é necessário para obter essa visão geral integrada do uso de dados..

4. A LGPD exige uma abordagem integrada de segurança por desenho

Você deve implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, o que inclui um processo para testar e avaliar regularmente a eficácia dessas medidas. Simplesmente acrescentar algumas poucas medidas de segurança depois que o sistema entrar em operação não fará isso. Isso requer uma abordagem integrada para segurança por desenho, não se concentrando apenas na parte da TI, mas englobando todos os aspectos de sua organização. Arquitetos corporativos estão bem-posicionados para lidar com isto, uma vez que eles possuem a visão geral e a percepção necessária para isso.

5. A LGPD requer Relatório de Impacto da Proteção de Dados

Você deve fornecer um Relatório de Impacto da Proteção de Dados quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD), o que inclui os tipos de dados coletados e métodos de coleta, uma descrição sistemática do processamento, a avaliação dos riscos à segurança das informações e as medidas para mitigar estes riscos. Uma análise como esta, em panoramas de TI e de negócios grandes e complicados, requer soluções de software inteligentes. A funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do Bizzdesign Enterprise Studio é perfeitamente adequada para este tipo de análise e desenho de privacidade e segurança. Alavancar seus modelos de arquitetura existentes lhe dá um ótimo pontapé inicial!

6. A LGPD determina que você denuncie incidentes de segurança

Você deve relatar incidentes de segurança de dados pessoais à ANPD e aos titulares envolvidos em “prazo razoável” a ser definido pela ANPD (Artigo 48), com possível comunicação ampla e pública do evento. Isso representa sérios riscos à reputação, como incidentes anteriores de grande repercussão no mercado têm demostrado. Tentar esconder uma violação não é mais uma opção.

7. A LGPD pode levar a penalidades significativas

As penalidades por não-cumprimento incluem “multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões de reais por infração” (Artigo 52), além de danos pessoais que podem ser reclamados por titulares de dados (também por meio de ações coletivas) e eventuais ações civis e criminais. Tal impacto financeiro seria suficiente para pôr em perigo a existência de muitas empresas. Qual seria o valor para sua organização evitar esses riscos?

É hora de demonstrar a importância da arquitetura

A segurança cibernética e os riscos de reputação associados se tornaram uma das principais preocupações estratégicas para a alta direção, e o GDPR coloca ainda mais pressão neste problema. Como um arquiteto corporativo, você pode ter um papel fundamental neste domínio. Descubra o valor escondido dos seus conhecimentos, modelos e análises da arquitetura. Ajude a sua organização a melhorar sua resiliência estratégica, garantir a conformidade regulatória, e reduzir os riscos financeiros, operacionais e de reputação. Demonstre a importância da arquitetura para a sua Diretoria!

Na próxima postagem, veja os oito passos que você deve dar para ajudar a sua organização a lidar com a LGPD.

* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.