PDCA aplicado à LGPD – Lei Geral de Proteção de Dados. Como a LGPD é orientada a processos podemos utilizar ferramentas já estabelecidas, como o PDCA

 

Image result for lgpd pdca

A Lei Geral de Proteção de Dados (LGPD), que entra em vigor formalmente em agosto destes ano, busca, entre outras coisas, responsabilizar as empresas pela proteção dos dados das pessoas. por isto, temos visto muitas empresas emprenhadas em implementar a proteção de dados de uma maneira, por vezes desestruturadas, simplesmente focadas nas questões jurídicas ou  esquecendo-se das medidas técnicas que darão suporte à proteção dos dados e redução dos riscos.

A lei promete pesadas multas para empresas que não conseguem realizar essa tarefa e prioriza a privacidade pessoal, justamente no momento em que nosso ambiente digital é mais amplo e extenso do que nunca, por isto nos empenhamos em trazer aqui um pouco de metodologia e visão futura da manutenção e evolução contínua do estado de proteção das informações privadas.

Assim que os novos requisitos impostos pela LGPD estrar em vigor, as empresas não poderão arcar com os custos em cascata e os danos à reputação associados às violações da privacidade.

Infelizmente, os funcionários e contratados de uma empresa geralmente representam o risco mais significativo para a segurança dos dados, por isto organizações de todos os tamanhos estão tomando medidas para proteger os dados de seus clientes, o que geralmente significa recorrer a alguma forma de software de monitoramento e supervisão. Isso seria mais fácil se fosse tudo o que você precisasse fazer e aí você poderia então priorizar a privacidade do cliente em vez da privacidade do funcionário.

Mas, a LGPD retirou essa opção. A privacidade do funcionário está sujeita às mesmas proteções que o cliente e a privacidade do cliente sob a LGPD. As empresas simplesmente não podem violar a privacidade de um grupo para proteger as informações de outro. Portanto, as empresas têm a tarefa de andar na corda bamba, equilibrando simultaneamente a segurança dos dados de seus clientes e a privacidade de seus funcionários.

Isso não precisa ser tão difícil.

É um processo

Como outras leis similares (HIPAA, PCI, GDPR etc.), a LGPD é fortemente orientada para o processo. É por isso que você ouve diretrizes como: “Os controladores de dados pessoais devem implementar medidas técnicas e organizacionais apropriadas para implementar os princípios de proteção de dados“. A boa notícia é que você pode automatizar muitos desses requisitos técnicos, como: descoberta de informações pessoais (ou PII – Personally Identifiable Information), coleta de consentimentos, anonimização de dados, remoção (direito a ser esquecido) etc., com as soluções atuais de segurança e prevenção de perda de dados (DLP). E se você implementou padrões de conformidade como HIPAA, PCI, ISO e GDPR deve ser mais fácil implementar a LGPD.

Como a LGPD é orientada a processos podemos utilizar ferramentas já estabelecidas, como o PDCA, para facilitar a tarefa de conformidade (se você não estiver familiarizado com o PDCA, aqui você pode fazer uma leitura rápida), especialmente nas medidas organizacionais, porque o PDCA é uma estrutura de gerenciamento de processos. É muito improvável que você consiga implementar o LGPD de uma só vez, você precisará ajustar seu plano, reavaliar e refinar. A natureza de otimização contínua do PDCA o ajudará com isso

Vamos ver como isso pode ser feito:

Fase I: Plan

No PDCA, o plano é estabelecer as metas e processos necessários para entregar os resultados desejados. No nosso caso, o objetivo é garantir a segurança dos dados dos funcionários e dos clientes. Também podemos proteger outros dados confidenciais, como IPs confidenciais da empresa, e evitar ameaças internas como sabotagem, furtos, violações acidentais de segurança, etc. Queremos fazer tudo isso dentro dos limites da LGPD.

Para fazer isso, primeiro precisamos entender quais são os principais princípios de privacidade e, em seguida, estabelecer nossos objetivos de segurança e monitoramento, para garantir que os princípios sejam respeitados.

Entenda os princípios:

Existem 7 princípios do LGPD relacionados ao processamento de dados pessoais. São eles:

  1. Legalidade, justiça e transparência
  2. Limitação de finalidade
  3. Minimização de dados
  4. Precisão
  5. Limitação de armazenamento
  6. Integridade e confidencialidade
  7. Responsabilização (cláusula especial)

A compreensão desses princípios ajudará você a decidir o que pode ou não atingir com os objetivos de monitoramento / DLP do local de trabalho. Por exemplo, se você decidir usar um agente furtivo para monitorar as atividades de seus funcionários, ele poderá entrar em conflito com o princípio de justiça e transparência – a menos que você tenha situações excepcionais, como suspeita de atividade criminosa, negligência grave, risco de saúde e segurança, etc. isso pode exigir justificativas sólidas. Conhecer os princípios o ajudará a definir seu objetivo de monitoramento ou a considerar opções alternativas. Por exemplo, como alternativa a um agente furtivo, você pode alcançar a maioria dos objetivos de monitoramento com um agente visível / revelado sem se colocar em uma posição legalmente duvidosa enquanto usa uma medida preventiva em vez de uma arma punitiva.

Defina a finalidade e verifique a conformidade:

O próximo passo no seu processo de planejamento da LGPD será identificar todos os objetivos que você tem para usar uma solução de monitoramento de funcionários e verificar se algum desses objetivos está em conflito com os princípios da lei. Aqui estão alguns exemplos que parecem semelhantes, mas podem afetar significativamente os princípios:

Objetivo do monitoramento Verificação dos Princípios
Eu quero monitorar a produtividade dos funcionários. Isso pode afetar diretamente os princípios 2 e 3 acima e, na maioria dos casos, são interesses legais ou legítimos. No entanto, certifique-se de não usar esses relatórios de produtividade apenas para tomar decisões sobre o desempenho no trabalho.
Quero acompanhar o tempo dos funcionários para avaliar seu desempenho no trabalho. Este é um NÃO. O monitoramento dos horários de entrada e saída não pode ser usado para avaliação de desempenho, a menos que haja outro interesse legítimo (por exemplo, folha de pagamento).
Quero monitorar os e-mails dos funcionários para garantir que as reclamações dos clientes sejam atendidas a tempo. Esse pode ser um objetivo legítimo, mas você deve limitá-lo apenas aos e-mails corporativos. Você pode usar recursos avançados no software para limitar a exposição de dados de privacidade (por exemplo, OCR para detectar apenas determinadas palavras-chave, limitar domínio, limitar a captura de anexos etc.)
Quero monitorar o uso do site dos funcionários para evitar a infecção por malware. Embora isso possa passar no teste decisivo, sua primeira preferência deve restringir o acesso, em vez de monitorar o comportamento para esse fim. Portanto, considere usar a filtragem de IP ou outros métodos para limitar a navegação na web dos funcionários a sites perigosos.Outra opção pode ser usar uma ferramenta para isolamento da Web e separar o tráfego da Web corporativa do tráfego pessoal.

Fase II: Do

Depois de determinar seus objetivos que são compatíveis com a LGPD, é hora de executar a política. Você pode usar a tecnologia para sua vantagem. No entanto, como discutimos anteriormente, a LGPD é uma lei complexa. Não existe uma solução única que possa ajudá-lo a alcançar todos os seus requisitos. Nem a tecnologia sozinha pode ajudá-lo. Portanto, sua melhor aposta seria encontrar uma solução que atenda à maioria dos requisitos, levando em consideração seus objetivos, facilidade de uso e orçamento.

Selecione a ferramenta certa:

Abaixo estão algumas opções que você pode considerar para atingir a maioria dos seus objetivos descritos na etapa Planejamento. Para obter o melhor valor pelo seu dinheiro, avalie como a tecnologia atende aos requisitos de privacidade, produtividade, proteção de dados e segurança cibernética de seus funcionários e clientes. A menos, é claro, que você queira apenas uma ferramenta de conformidade. Nesse caso, o processamento manual dos dados de privacidade ou uma solução LGPD / GRC dedicada deve funcionar.

Abordagem Manual / Semi-Manual Soluções dedicadas LGPD / GRC Monitoramento de funcionários  DLP no Endpoint
Se você é uma empresa pequena e não processa muitos dados pessoais, provavelmente poderá usar alguns modelos e ferramentas disponíveis gratuitamente, como listas de verificação de conformidade pré-criadas, ferramentas DPIA (algumas estão disponíveis como planilhas do Excel) etc. Para notificações de violação, você pode usar ferramentas gratuitas, como a oferecida pela ENISA . Esta é a opção menos cara e salva o seu tempo. Muitos softwares de Governança, gerenciamento de riscos e conformidade (GRC) possuem módulos de GDPR que podem ajudá-lo na LGPD e também a centralizar dados de privacidade, demonstrar outras conformidades e realizar notificações de violação. Estes podem ser caros e muito especializados. Eles também não podem ajudá-lo com seus outros objetivos, como produtividade, prevenção de ameaças internas etc. Alguns dos softwares mais recentes desta categoria permitem que você defina suas configurações de monitoramento para atender aos requisitos de LGPD e ainda atingir suas metas de monitoramento e produtividade. No entanto, muitos deles se concentram no comportamento e atividade do usuário e menos no ‘conteúdo’. Portanto, suas funcionalidades de LGPD podem ser um pouco limitadas. Um DLP foi criado especificamente para proteger os dados. Um DLP moderno é fornecido com a descoberta automática de dados privados (PII) e permite criar políticas e regras para proteger os dados em repouso ou em trânsito. Alguns deles, como o Teramind DLP, vêm com recursos de produtividade incorporados. Portanto, você obtém os benefícios de uma solução de monitoramento de funcionários e ao mesmo tempo realiza a implementação de monitoração para a LGPD.

Fase III: Check

Na fase de verificação do PDCA, você coleta dados e resultados do estágio Do e os compara com as metas originais do Plan . Semelhante a uma análise de risco, é aqui que você verifica se a política implementada está em conformidade com os princípios de Privacidade por Design e Privacidade por Padrão (Privacy by Design e Privacy by Standard), além de verificar se seu monitoramento e rastreamento são proporcionais aos propósitos para os quais os dados foi capturado e processado.

Uma ferramenta de avaliação de impacto de privacidade (PIA – Privacy Impact Analysis) pode ser usada para conduzir e documentar essas verificações. Em alguns casos, pode até ser obrigatório fazer uma PIA. No Reino Unido, por causa da GDPR, o Information Commissioner’s Office recomenda que as empresas realizem uma avaliação de impacto de privacidade . Enquanto isso, na Europa, o Artigo 35 do GDPR exige que as empresas concluam uma análise de custo / benefício da privacidade de dados antes de prosseguir.

Seja necessário ou não, é benéfico realizar uma PIA, especialmente quando você tem um grande número de funcionários ou clientes da UE. De acordo com uma apresentação  International Association of Privacy Professionals Congress , os PIAs têm os seguintes benefícios:

  • Fornece um sistema de aviso prévio, uma maneira de detectar problemas de privacidade, criar salvaguardas antes de investimentos pesados e​ corrigir problemas de privacidade imediatamente
  • Evita erros de privacidade dispendiosos ou embaraçosos
  • Fornece evidências de que uma organização tentou evitar riscos à privacidade (reduz a responsabilidade, publicidade negativa, danos à reputação)
  • Melhora a tomada de decisão
  • Ajuda a organização a ganhar a confiança do público
  • Demonstra aos funcionários, contratados, clientes e cidadãos que a organização leva a privacidade a sério

Para que essa verificação funcione corretamente, você já deve estar executando sua implementação da LGPD por um tempo. Se você estiver implementando a LGPD pela primeira vez, poderá tentar executar um piloto ou mantê-lo limitado a um pequeno número de usuários. Em seguida, realize a verificação nesses grupos antes de distribuí-la para toda a organização.

Fase IV: Act

Também chamado de ‘Ajustar’, esta é a etapa em que você aprimora seu processo de LGPD a partir das informações obtidas durante a fase de Do Check . Você precisa revisar tudo o que fez até agora, incluindo a implementação do processo e do software – idealmente, como piloto.

Uma grande parte desse processo é a consulta. É importante que os empregadores compreendam a tecnologia que eles escolheram para monitorar e possam explicar aos trabalhadores, a seus sindicatos e outros representantes legais.

Muitas soluções de software possuem relatórios internos e cenários de análise de risco que você pode usar para obter vantagens ao coletar qualquer feedback e durante a discussão da consulta. Por exemplo, no Teramind DLP, há um relatório de Análise de risco que mostra as políticas e regras de risco e o contexto de vulnerabilidade (ou seja, em quais aplicativos os dados de PII são mais acessados). Usando este relatório, você pode ver quais regras da LGPD são violadas com frequência. A partir daí, você pode decidir se as regras precisam ser ajustadas. Por exemplo, talvez os parâmetros da regra sejam muito amplos, os limites de risco sejam muito altos / baixos ou você esteja capturando muitos dados ou talvez seus funcionários precisem de mais treinamento.

Alguns dos softwares de monitoramento de funcionários / DLP também possuem as ferramentas para realizar o treinamento dos funcionários (sessões remotas) e podem fornecer feedback pontual com mensagens personalizadas para os funcionários antes que sua própria privacidade ou a privacidade do cliente seja violada. Por exemplo, configurando uma regra para impedir o upload de arquivos contendo dados de PII, você pode impedir muitos casos de vazamento de dados e possíveis violações da privacidade do cliente. Nesse estágio, você também pode compartilhar com os funcionários os dados que está coletando sobre eles e dar a eles uma maneira de exercer o direito de esquecimento ou exclusão se eles não concordarem com o processo.

A conclusão desta fase permitirá que você expanda a implementação da LGPD em toda a organização, com mais chances de sucesso. No entanto, esteja preparado para explicar:

  • Se você estiver usando o monitoramento de funcionários para fins de produtividade, por que isso não pode ser realizado por outros meios que não o monitoramento automatizado.
  • Se, no entanto, o monitoramento se destina a proteger dados da empresa, informações de funcionários e clientes ou outros dados confidenciais, você deve estar preparado para demonstrar por que o uso da tecnologia DLP automatizada é menos invasivo do que a intervenção humana.

Conclusão

Sem dúvida, as empresas estão enfrentando um tremendo fardo para equilibrar os padrões regulatórios da LGPD que exigem os direitos de privacidade de seus funcionários e clientes, enquanto pesam as demandas de produtividade e segurança. Esse desafio só se tornará menos crítico com o tempo. No entanto, com um processo rigoroso e o uso estratégico das ferramentas certas, a conformidade com a LGPD, GDPR ou outros regulamentos de conformidade não deve ser um problema.

obs. Texto originalmente escrito por Alp Hug CEO da Teramind com foco na GDPR, mas que devido a sua similaridade e aplicabilidade, adaptamos para a LGPD

Fonte: Teramind