Breaking News

Os impactos do GDPR e da LGPD na estratégia de segurança da informação

Antônio Carlos Pereira*

O ano de 2018 será conhecido como um divisor de águas para a segurança da informação mundial. Em maio, entrou em vigor na União Europeia o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation - GDPR). A diretriz é que as empresas locais e, também, as que tenham relações comerciais com a região, realizem a coleta e tratamento de informações apenas com o consentimento explícito do usuário. Pouco tempo depois, em agosto, foi a vez de o Brasil seguir a onda, com a Lei Geral de Proteção de Dados (LGPD) sendo sancionada pelo presidente Michel Temer. A norma passa a valer em fevereiro de 2020 e possui diretrizes similares ao documento europeu. 

As exigências recaem direta e primeiramente na área de compliance, que deve ser responsável por garantir que todos os departamentos e stakeholders sigam as determinações: pedir a autorização da coleta de dados para cada cliente; apontar o objetivo do recolhimento; usá-los para o objetivo descrito; e aceitar a autonomia de o usuário  solicitar esclarecimentos ou a exclusão dos dados coletados. Além disso, as empresas são declaradamente responsáveis pela proteção das informações dos clientes e, em caso de vazamentos ou erros de utilização, têm a obrigação de comunicar os atingidos em até 72 horas. As multas pelo descumprimento das exigências na LGDP, por exemplo, chegam a  até R$ 50 milhões, ou 2% do faturamento do grupo econômico. 

A partir de agora, clientes podem exigir que as empresas detalhem quais informações pessoais são coletadas, e para qual fim.  O que todo o consumidor, seja ele pessoa física ou jurídica, quer, é garantir que os dados cedidos ao seu fornecedor não saiam do perímetro corporativo. No segmento B2B, já vejo hoje, clientes interessados em atuar como auditores de seus fornecedores, como medida cautelar vinda de uma crônica falta de confiança. Com a regulamentação, o que seriam pedidos esparsos tendem a se tornar exigências recorrentes, o que vai demandar a criação de processos, adoção de ferramentas e construção de mecanismos que atendem a essas solicitações. 

Não há segredo: para que os dados sejam protegidos de maneira integral é necessário um investimento em tecnologias de segurança da informação. Mas isso não é o bastante: como citei anteriormente, qualquer ação deve partir de uma política clara, bem fundamentada e amplamente comunicada internamente por compliance. Invariavelmente, os processos terão de estar muito bem amarrados.  Uma outra estratégia importante é a contratação de hackers que trabalhem para a empresa buscando vulnerabilidades antes que invasores mal-intencionados o façam. Especialmente com LGPD e GDPR, o sucesso da estratégia de segurança da informação está na antecipação de brechas e prevenção de ocorrências mais graves. 

Mais um fator que não pode ser ignorado é a companhia contar com profissionais de segurança da informação certificados e atualizados, que sigam padrões internacionais e realizem reuniões mensais para acompanhamento de trabalho e melhoria - inclusive junto da diretoria.  A partir de agora, a garantia de proteção e integridade dos dados não será uma tarefa somente de um departamento ou estará centralizada em uma figura, como o Chief Security Officer: é essencial que permeie todos os departamentos da empresa, em especial aqueles que se relacionam diretamente com os clientes e seus dados. 

Mas não há motivos para reclamar nem do GDPR, nem da LGPD. Adequar-se às exigências dá trabalho e exige investimento de recursos - seja de tempo ou financeiro -,  mas é uma atividade importantíssima para elevar o nível de transparência e até mesmo maturidade das organizações. Afinal,  garantir a segurança da informação da carteira de clientes pode, até então, não ter sido obrigatório - mas sempre foi uma atitude estratégica e de extremo bom senso para companhias que querem ter credibilidade em seu ecossistema. 

*Antonio Carlos Pereira é vice-presidente de serviços ao cliente e operações para a América Latina


Sobre a Orange Business Services

A Orange Business Services, frente dedicada da Orange a serviços B2B, com seus 25 mil funcionários, é focada em apoiar a transformação digital de multinacionais, além de pequenas e médias empresas francesas nos cinco continentes. A Orange Business Services não é apenas uma operadora de infraestrutura, mas também uma integradora de tecnologia e prestadora de serviços que agregam valor. Oferece às empresas soluções digitais que ajudam a promover a colaboração entre equipes (espaços de trabalho colaborativos e móveis), melhoram o atendimento aos clientes (relacionamento e inovação empresarial) e apoiam seus projetos (melhorias na conectividade, TI flexível e cyberdefense). As tecnologias integradas que a Orange Business Services oferece vão desde SDN/NFV (Software Defined Network), Big Data, IoT (Internet das coisas), à computação em nuvem (cloud computing), colaborações e comunicações unificadas, assim como defesa cibernética. A Orange Business tem mais de três mil clientes, entre eles empresas multinacionais renomadas internacionalmente e mais de dois milhões de profissionais, empresas e comunidades locais na França. Saiba mais em www.orange-business.com ou siga-nos no LinkedIn, Twitter e nossos blogs.

A Orange é uma das operadoras líderes mundiais em telecomunicação, com vendas anuais de €41 bilhões em 2017 e 260 milhões de clientes em 28 países (30 de junho de 2018). A Orange é listada na Euronext Paris (symbol ORA) e no New York Stock Exchange (symbol ORAN).

A marca Orange e os nomes de seus produtos ou serviços inclusos neste material são marcas registradas da Orange ou Orange Brand Services Limited.

Fonte: Orange Business Services

Nenhum comentário

imagem de uma pessoa em frente a tela no notebook com a logo do serviço balcão virtual. Ao lado a frase indicando que o serviço