Se há um assunto que tem gerado polêmica no mundo da segurança da informação nos últimos meses é a Lei Geral de Proteção de Dados (LGPD). E, para comentar sobre a norma e os avanços da Autoridade Nacional de Proteção de Dados (ANPD), órgão criado justamente para fiscalizar e gerenciar a correta aplicação da lei, o Mind The Sec 2021 contou com uma pequena palestra de ninguém menos do que Arthur Pereira Sabbat, diretor do Conselho Diretor da ANPD.
- MTS21 | Como garantir a segurança no desenvolvimento em nuvem
- MTS21 | Afinal, as criptomoedas podem ou não substituir o dinheiro físico?
- MTS21 | Falta de táticas de gerenciamento de crise agravam vazamentos de dados, afirma especialista
“A LGPD é uma grande tentativa de devolver aos titulares dos dados pessoais o direito de decidir sobre o destino dos próprios”, explica Sabbat, ressaltando que segurança da informação e cibersegurança são dois conceitos que devem andar juntos para pavimentar a devida aplicação da legislação. “A lei considera alguns aspectos muito relevantes dentro de seu bojo técnico, e, em seu bojo normativo, ela considera os aspectos de segurança como sendo de extrema relevância”.
O executivo destaca que há capítulos inteiros da legislação dedicados a medidas administrativas de segurança da informação. “A prevenção e a segurança constam como princípios de modo evidente. O tratamento de dados pessoais poderá ser considerado nulo ou ilícito caso o controlador não adote todas as medidas de segurança que o titular dos dados espera”. Sabbat explica que tal capítulo que trata sobre as questões técnicas é raso porque “cabe à ANPD endereçar esses aspectos”.
“Como a maioria dos dados pessoais estão depositados em mídias digitais no espaço cibernético, a segurança cibernética ganha uma alta relevância. O grande temor daqueles que tratam de dados pessoais são os vazamentos, que podem comprometer a imagem e os negócios da empresa, tal como sua confiança perante seus clientes”, diz.
Arthur também aproveitou o momento para destacar a importância das companhias terem um playbook para lidar com incidentes de segurança que coloquem em risco a privacidade de seus clientes. “Todas as organizações devem instituir um programa de governança de privacidade. Ele geralmente é composto por políticas de proteção de dados pessoais, políticas de segurança da informação e suas medidas administrativas, técnicas, planos de continuidade de negócios, gestão de ativos e afins”.
E continua: “A lei incentiva que os agentes de tratamento estabeleçam esses programas e lista uma série de requisitos. Entre eles, programas de conscientização e até campanhas educacionais, pois sabemos que um dos problemas de nossa sociedade é essa baixa maturidade sobre o assunto, que já é uma cultura enraizada em outros países. Temos que aprender com os erros dos outros e construir nosso próprio caminho”, diz.
E sobre a atuação da agência reguladora? Embora ela pareça andar a passos curtos, Arthur garante que há um grande trabalho sendo feito por trás das cortinas. “Estamos elaborando a parte de relatórios de impactos à proteção de dados pessoais, que nada mais é do que uma avaliação de riscos; normas de comunicação de incidentes de segurança; normas sobre o papel do encarregado, exatamente para que ele seja o canal de comunicação de modo efetivo entre empresas e a ANPD”, finaliza.
Confira tudo o que já publicamos sobre o Mind The Sec 2021, a maior e mais qualificada conferência corporativa sobre segurança da informação da América Latina!