O que eu preciso saber sobre o Lei Geral de Proteção de Dados Pessoais (LGPD)?

Em agosto de 2018 foi sancionada a Lei 13.709/18 um documento que altera o já famoso Marco Civil da Internet de 2014 e que ficou conhecida como a Lei Geral de Proteção de Dados Pessoais, ainda no mesmo ano, tivemos uma Medida Provisória no dia 27 de dezembro de 2018* fazendo com que todos o que operam com tratamento de dados pessoais estejam em conformidade até agosto de 2020.

*A Medida Provisória n° 869/18 altera a vacatio legis da Lei 13.709/18 para 24 meses, o que significa que a norma passa a entrar em vigor em agosto de 2020, e não mais em fevereiro de 2020.

Outro ponto importante é que ela já está em vigor para alguns artigos como  art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B

Introdução a LGPD

A Lei Geral de Proteção de Dados ou como ela ficou mais conhecida LGPD tem como principal função determinar como os dados dos cidadãos podem ser coletados e tratados, inclusive nos meios digitais. Regulamentar a forma de tratamento de dados pessoais irá fomentar o desenvolvimento e melhorar a imagem do Brasil no que diz respeito ao objetivo de proteger os direitos fundamentais de liberdade e de privacidade.  Ela é muito similar a GDPR (General Data Protection Regulation) que trata sobre o mesmo tema para cidadãos da União Europeia e que já está em vigor desde 25 de maio de 2018,.

E ela se aplica a todas as empresas de todos os setores e tamanhos. Val para todos os cidadãos Brasileiros e tem aplicação extraterritorial, atinge aquele que coletar e tratar dados de pessoas localizadas no país.

Do ponto de vista tecnológico vamos entender qual o caminho devemos seguir para estar em conformidade com essa Lei.

Dados Pessoais e Dados Pessoais Sensíveis

A lei é sobre tratamento de dados pessoais e dados pessoais sensíveis. o que são esses dados?

No Artigo 5 , inciso 1 e 2 temos que um dado pessoal é qualquer  informação relacionada a pessoa natural identificada ou identificável e dado pessoal sensível é um dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Um dado pessoal pode ser meu nome ou idade, um dado pessoa sensível se dá por informações que podem identificar uma pessoa, por exemplo um CPF.  Um dado sensível é qualquer informação que possibilite a discriminação.

Onde estão esses dados pessoais dentro de uma empresa? Basicamente em todo o lugar e o maior desafio hoje para determinadas empresas será o de identificar onde estão e quais dados são sensíveis e assim proteger o mesmo e definir quem pode acessar e tratar esses dados.

E o que não é considerado “dado pessoal” são os dados anonimizados....  (art. 5o, III e XI): o dado anonimizado é relativo ao titular que não possa ser identificado.

Tratamento de Dados

O tratamento de dados está descrito no Artigo 5 – inciso X e diz que tratamento é toda operação realizada com dados pessoais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Responsabilidade

A Lei também define pessoas responsáveis nesse caso denominados agentes de tratamento temos então o controlador e o operador;

Controlador é o que toma as decisões referentes ao tratamento de dados pessoais ... Operador - é o que realiza o tratamento de dados pessoais em nome do controlador;

Sanções e a ANPD

No capítulo 9 é definido a Autoridade Nacional de Proteção de Dados (ANPD), A ANPD é o órgão da administração pública responsável fiscalizar o cumprimento desta Lei. Descrito Esse conselho é composto por vinte e três representantes

  • Seis do Poder Executivo federal;
  • Um do Senado Federal;
  • Um da Câmara dos Deputados;
  • Um do Conselho Nacional de Justiça;
  • Um do Conselho Nacional do Ministério Público;
  • Um do Comitê Gestor da Internet no Brasil;
  • Quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
  • Quatro de instituições científicas, tecnológicas e de inovação
  • E quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.

Então temos

O Controlador, Operador e ainda o encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

Sobre as sanções está definido multa simples, de até 2% (dois por cento) do faturamento limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. As sanções se aplicação a não conformidade e não a incidentes de vazamento apenas.

Por onde começar?

 Um dos desafios é identificar onde temos os dados pessoais e dados pessoais sensíveis dentro da corporação. Dados não somente dos clientes, mas também dos funcionários.   

Quais são os acessos permitidos, direitos e heranças nos sistemas de arquivos onde residem estes dados, ou quando estamos tratando de quem realmente deve acessar ou controlar uma base de dados.  O desafio se torna ainda maior quando temos ambientes híbridos.

Fora localizar e identificar as pessoas que podem estar acessando esses dados. Lembrando que isso só deve ocorrer para aqueles designados como “Agentes de tratamento”  definidos no artigo 5 e ainda temos no capítulo 4, sessão 1, Artigo 38 temos o seguinte

“A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados”

Solução – Suíte do Enterprise Reporter

 Você deve fazer uma análise de onde estão esses dados e identificar se estão protegidos e descrever o ciclo de vida dessas informações e qual o tipo de tratamento, coleta, uso, armazenamento e outros como já vimos anteriormente.

 

https://www.quest.com/br-pt/products/enterprise-reporter 

A Suíte do Enterprise Reporter ajuda a manter seu ambiente Microsoft protegido e em conformidade, seja ele baseado na nuvem ou no local. Avaliações de acesso abrangentes e relatórios integrados fornecem grande visibilidade dos recursos, usuários, grupos e permissões do Azure, e muito mais. Faça relatórios, analise e aja em permissões de toda a empresa a partir de uma visualização única e centralizada. Faça backups de permissões para estabelecer uma linha de base e fazer alterações direcionadas ou em massa com a habilidade de revertê-las se necessário.

 

No artigo 46 do Capitulo 7 trata das seguranças e das boas práticas e que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Além da solução já citada, é importante o monitoramento em tempo real dos acessos e alterações onde estes dados estão armazenados.  Importante também saber que as notificações de violação de dados são obrigatórias, no caso de uma violação, as organizações devem notificar a Autoridade Nacional de Proteção de Dados (ANPD) e todos os clientes afetados e essa comunicação deverá será feita em prazo razoável.

Solução – Change Auditor

 

https://www.quest.com/br-pt/change-auditor/ 

O Change Auditor permite fazer auditoria em ambientes híbridos com visualização correlacionada e notificações em tempo real. Já possui a capacidade de gerar relatórios abrangentes para melhores práticas de segurança e exigências de conformidade.

 Em um único console você pode ter a visibilidade necessário para identificar:

  • Quem fez a alteração
  • O que foi alterado
  • Quando ocorreu a alteração
  • Onde ocorreu a alteração
  • E o endereço IP ou workstation onde a mudança se originou

Com o Change Auditor Thread Detection é possível simplificar a detecção de ameaças de usuários ao analisar atividades anormais para classificar os usuários de maior risco na sua organização, identificar possíveis ameaças e reduzir o ruído de alertas falsos positivos.

  • Exfiltração de dados - Identifique facilmente usuários comprometidos ou contas tentando roubar ou destruir dados.
  • Malware - Reconheça rapidamente tentativas de tomar o controle de contas de usuário e seus privilégios por meio de malware.
  • Uso indevido de conta privilegiada - Detecte quando algum programa ou script tomar o controle das credenciais de algum usuário.
  • Ataque de força bruta - Identifique invasores correlacionando eventos de segurança repetidos com alertas relacionados.
  • Privilégios elevados - Localize elevações impróprias de privilégio ao realçar eventos e ações de usuários relacionadas.
  • Atividades no AD anormais - Identifique rapidamente atividades de usuários suspeitas no AD.
  • Movimento lateral - Detecte invasores comparando padrões de comportamentos anormais com linhas de base de usuário.
  • Acesso inapropriado a sistema ou recursos - Emita alertas sobre usuários tentando acessar dados desnecessários.

E depois?

Conhecer mais a fundo detalhes que podemos encontrar no artigo 50 que trata das boas práticas e da governança e que no fundo é implementar procedimentos, normas de segurança, ações educativas... e é claro os mecanismos de analise, mitigação de riscos, talvez até mesmo a criação de uma equipe para assumir essa função seja o ideal. O importante é entender a essência dessa Lei e saber que pode contar com o apoio dos nossos engenheiros.

Anonymous