Cuidados no levantamento de informações pessoais eficiente da LGPD

Percebe-se de forma recorrente nas empresas onde iniciamos a adequação da LGPD que os “Assessments” ou a análise de riscos feitas por terceiros, tem um foco demasiado nos ativos de informação, lembrando mais uma implantação de ISO 27001 do que da LGPD.

Ativos de informação, para normativas como a ISO 27001 são: Servidores, Notebooks, contratos, infraestrutura de TI e etc..

Já a LGPD foca em “informações pessoais” ou seja, dados cadastrais, CPF, informações médicas e outras, em qualquer meio ou formato (digital, papel, vídeo etc..).

Então, em algumas dessas analises o foco é tão grande em ativos de informação, que mal chegam a citar os dados pessoais que a empresa deve proteger, focando completamente em Servidores, base de dados, mídias etc.

Os ativos são importantes e devem ser identificados, mas eles só serão relevantes se fizerem parte do ciclo de vida das informações pessoais identificadas. Então, não faz sentido levantar ativos que não tem conexão com as informações privadas.

Da mesma forma a identificação dos eventos de risco associados a manipulação da informação privada, e não apenas eventos de riscos ligados aos ativos de informação.

Outro ponto importante é a parametrização dos riscos, pois associar a CID ao cálculo do impacto pode ser inócuo para a LGPD, porque para a lei não importa muito qual o tipo de impacto ocorreu, todos tem o mesmo peso.

Por outro lado, para a empresa pode ser muito importante saber, e nesse caso não apenas da CID, mas também os impactos financeiros, reputacionais, legais e para o proprietário da informação. Essa quantidade de variáveis torna o processo mais complexo e trabalhoso, mas deixa também mais claro o tamanho do impacto que esse evento pode causar e as dimensões envolvidas, ajudando assim a melhorar a definição dos controles e do tempo de resposta que será necessário para cada tipo de incidente.

Como último apontamento:

  • “Não deem foco demasiado em questões puramente de S.I. ou Legais”, gestão de riscos e Segurança da Informação é uma cultura! Precisamos entender de forma clara a transformação da informação no negócio e as interações que as pessoas vão ter com ela no seu dia a dia!

Daremos um exemplo bem prático para vocês.

Realizamos recentemente um teste para os colaboradores de um cliente nosso onde já tínhamos feitos treinamentos e adequado a operação do Cliente para a GDPR e para LGPD. Neste teste fizemos a seguinte pergunta:

Caso você encontre um documento no chão da empresa, com o carimbo de “confidencial” nele, que significa que essa informação só pode ser lida pelo conselho da empresa, podendo inclusive gerar um processo de desligamento no caso de leitura indevida, o que você faria?

  • Rasgaria a informação e colocaria no lixo para ninguém ter acesso;
  • Entregaria para o seu supervisor imediato;
  • Não mexeria na informação, deixando-a onde está;
  • Iria ler para saber para quem levar o documento;

O resultado:

  • 43% rasgaria a informação

Resposta certa:

  • Conforme treinamento seria entregar para o supervisor imediato (Caso você também esteja com dúvida).

Isso é cultura pura, as pessoas precisam entender que rasgar uma informação confidencial pode ser tão crítico quando ler ela!

Então amigos, treinem, treinem e treinem e quando sua equipe estiver boa e entendendo bem os conceitos de segurança e dados, treine novamente!

Abraços

Cássio H. F. Ramos,

Dir. Qualytool Consulting Group.

CDPSE – Certified Data Privacy Solutions Engineer

CRISC – Certified in Risk and Information Systems Control

Compartilhar em
Share on facebook
Share on twitter
Share on linkedin
Share on print
Share on email

Conteúdos anteriores

Open chat