Privacidade e Proteção de Dados Pessoais & Segurança da Informação.
Essa dupla poderosa deve sempre caminhar junto no ambiente corporativo. Apesar dos muitos encontros e (possíveis) desencontros entre essas disciplinas, é necessário atender também às expectativas regulatórias, frameworks globais e governanças.
Mas, e com a chegada de um CISO (Chief Information Security Officer)? Como fica esse equilíbrio? Como entender as atribuições de cada área e pensar a melhor forma de cooperarem uma com a outra?
Essas e outras questões são trabalhadas ao longo deste artigo, que visa trazer provocações para que você possa manter a sinergia e o entendimento entre as áreas da sua empresa.
Mas, vamos por partes! Antes de mais nada, é importante entendermos juntos o conceito de Informação sob o aspecto de pessoa natural e sob o aspecto corporativo.
Qualquer atividade executada e relacionada à pessoa natural gera informação, certo?
Para uma pessoa praticar um esporte, por exemplo, vejam quantos dados e decisões são tomadas. Entre elas: como será o deslocamento, quanto tempo leva o percurso, por onde decidiu passar, qual a preferência de atividade, entre outros.
Todos esses dados são informações, produzidas diariamente, por qualquer indivíduo, agregando decisões, que são escopo da Lei Geral de Proteção de Dados (LGPD).
Evidente que tomadas de decisão relativas às informações existem também dentro de corporações. No entanto, tomadas de decisões pensando em dados pessoais são de responsabilidade da Privacidade, enquanto informações corporativas - sejam de negócios ou confidenciais - são atribuições da Segurança da Informação (SI).
Ainda que informações sejam diferentes, a forma de controle é a mesma, e o que determina esse controle, visando minimizar riscos, é o ponto de sinergia entre Privacidade e SI.
Estamos, aqui, buscando explicar a conexão entre essas matérias, entre esses diferentes tipos de informação. E a resposta está em PROTEGER e CONTROLAR as INFORMAÇÕES, aplicando as técnicas e regulamentos por cada especialista no assunto.
Agora, a pergunta que não quer calar: como essas duas áreas independentes (Privacidade e Proteção de Dados & SI) conseguem executar suas obrigações? SINERGIA! E, para que ela aconteça, os papéis precisam ser definidos e colaborativos, com atuações estratégicas dos profissionais.
Para a melhor visão, das 2 áreas desempenhando suas funções e somando ganho para as organizações, trago a metodologia Privacy by Design como exemplo.
Abaixo, é possível identificar o papel da SI, na dinâmica exigida pela LGPD, especialmente na concepção de um produto/negócio, a seguir:
Observe a contribuição da SI em Privacidade:
E muitos outros benefícios.
No que se refere à conscientização de colaboradores, grande parte dos desdobramentos em Privacidade estão direcionados à cultura da organização, o que dialoga com os pilares de Segurança da Informação.
Assim, quando temos uma cultura de Privacidade + SI conectada com as práticas na organização, negócios e atividades são escalados com mais segurança e confiança.
Esse pode ser o grande diferencial competitivo do seu negócio - já que a atuação dessas áreas juntas transmite confiança ao cliente final.
No momento em que uma empresa constrói seu programa de Governança de Dados Pessoais e Governança de SI, é preciso pensar nele como um documento a ser consultado no dia a dia como um guia que orienta e garante a conformidade com leis e regulamentos de maneira assertiva, e também apoia os objetivos e metas do negócio.
Em se tratando de Governança de Privacidade e SI - assim como os processos corporativos acompanham as mudanças tecnológicas, sociais e contextuais - o modelo ideal é aquele que esteja em constante evolução, buscando atualização.
E, não menos importante, a capacitação e escolha de profissionais especialistas no assunto também vai garantir bons frutos para sua empresa.
Para resumir bem a construção dessa sinergia, trago aqui a fala da minha grande amiga e profissional em Segurança da Informação, Marta Monteiro.
“A sinergia em Segurança da Informação e Privacy é naturalmente muito interligada, porque a proteção de informações pessoais já era escopo da proteção de SI. Desde sempre e, obviamente, já existiam, regulatórios e outras Leis – não específicas – sobre o tema.
Inclusive, a Lei Geral de Proteção de Dados ratificou a Segurança da Informação, na proteção dos Dados Pessoais, então é inevitável a sinergia. O que recomendo para as empresas é que essas áreas sejam próximas, em um programa de conscientização e em recomendações de controles porque, afinal, é isso que se espera, é isso que a LGPD veio ratificando. A Lei incluiu de uma forma bem diligente a SI.
O melhor caminho é o da 'união faz a força'. O Titular do Dado espera que suas informações estejam seguras, nos limites da Lei.
Se essas áreas andarem juntas, [empresas] terão um Programa de Dados Pessoais efetivo, com uma maturidade grande em Segurança”.
Já caminhando para a conclusão, voltamos para nossa dupla: (Segurança da Informação & Privacidade e Proteção de Dados Pessoais) e para a busca pelo equilíbrio nas atribuições e responsabilidades com a chegada de um(a) CISO.
Digo isso porque muitas empresas podem estar implementando esse cargo, pensando em parcerias com empresas de tecnologia e pesquisando sobre a estrutura necessária para estar em conformidade com a lei. E todas as preocupações são de extrema importância.
Recentemente, a Zoox anunciou essa nova posição profissional nos seus negócios: o líder de Segurança da Informação - conhecido no mercado como CISO e, a partir da chegada dele, uma coisa é certa: “conhecimento bom é aquele compartilhado”.
Quanto mais profissionais capacitados e atualizados tivermos ao nosso lado, mais vamos ser capazes de construir e levar a melhor experiência em inteligência de dados aos clientes.
Para quem desejar se aprofundar no assunto acima, de uma forma prática e objetiva, trago um bônus. Um eBook gratuito sobre Proteção de Dados - disponibilizado publicamente na internet e revisado por mim.
Lá é possível encontrar cases da coligação entre Privacidade e Segurança da Informação e encontrar dicas para o dia a dia do usuário. Clique aqui para acessar.
Caso queira entrar em contato com nosso time de privacidade, segue o endereço eletrônico: privacy@zooxsmart.com.