Com a aprovação da nova Lei de Proteção a Dados Pessoais inaugura-se no Brasil uma nova fase na luta pela proteção e privacidade das informações dos cidadãos na Internet e fora dela. A nova regra coloca o país ao lado de Chile, Colômbia e México em nosso continente na defesa das informações pessoais e movimenta as empresas de todos os segmentos – indústria, serviços, comercio, bancos e instituições financeiras, governos – a atualizarem seus processos de negócios e mecanismos internos para atender à nova realidade.
A aprovação na nova lei pelo Senado brasileiro acontece logo após a Comunidade Europeia colocar em vigor a Regulamentação Geral de Proteção de Dados (GDPR), que obriga toda e qualquer companhia baseada naquele continente e com presença em qualquer lugar do mundo a garantir a proteção e confidencialidade dos dados de seus clientes e impulsionou diversos países, entre eles o Brasil, a acompanhar o que determina a GDPR para não deixar brechas jurídicas que pudessem colocar seus mercados em risco ou desalinhados com o novo cenário.
A nova lei brasileira determina que as empresas, antes de coletar um dado – pode ser via cadastros, textos ou fotos – devem especificar de maneira clara e objetiva o uso que ela pretende dar à informação e solicitar autorização ao cliente para isso. A classificação de dados entra neste contexto para delimitar a maneira correta como as empresas podem processar, controlar, hospedar ou compartilhar uma informação em todo o ciclo de vida do cidadão como seu cliente, seja a empresa pública ou privada ou usuário sendo beneficiário de um serviço pago, gratuito ou público. Desta maneira, é necessário informar ao cidadão que informação poderá ser usada ou guardada, como e até quando isso será feito.
As empresas também deverão ter políticas muito claras de acesso às informações e delimitar os privilégios dos usuários de seus sistemas computacionais e de dados, definindo o que as pessoas poderão ver dentro e fora do ambiente corporativo. A classificação de dados (Data Classification) entra aqui como a ferramenta apropriada porque ela envolve a combinação entre processos, políticas e tecnologias de segurança que provê a informação contextual para políticas de segurança.
A aplicação da nova lei e o uso da tecnologia também deve incluir as pessoas. As equipes devem estar capacitadas para ser conscientizadas e ter os mecanismos de apoio para entender todo o teor e significado da nova lei e como ela, juntamente com os novos processos de classificação de dados, irá dar mais valor ao negócio.
Assim como o Marco Civil da Internet e a própria GDPR, a nova lei brasileira impulsiona as empresas fortalecerem seus mecanismos internos para garantir o respeito aos marcos regulatórios, que não são poucos, mas que impactam os negócios das companhias. Entre eles a SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA) e outras mais.
Desta forma, a Lei de Proteção a Dados Pessoais brasileira oferece um novo desafio para os responsáveis pela Segurança da Informação das companhias, que precisam estabelecer as condições apropriadas para que se garanta a conformidade de suas empresas. A classificação dos dados fortalece sua importância neste novo cenário permitirá que a estratégia de proteção de dados seja apoiada por soluções tecnológicas eficazes na execução das os níveis de segurança que os dados eles exigem.
Jaime Muñoz
Diretor para América Latina da Boldon James