Afinal, por que implementar a LGPD?
18/05/2021
Por que eu preciso de treinamentos sobre LGPD?
29/06/2021
Apesar da Lei Geral de Proteção de Dados regulamentar como a privacidade dos dados pessoais deve ser tratada, a legislação não diz como podemos garantir que os princípios da prevenção e segurança sejam cumpridos.
Neste artigo iremos te mostrar que a LGPD vai além do jurídico, diferenciando alguns temas que parecem ser a mesma coisa e explicando a importância dos documentos em todo esse processo!
Privacidade não significa Segurança
Antes de qualquer discussão sobre LGPD ou ações de segurança da informação, é importante que seja esclarecida a diferença entre privacidade e segurança da informação.
Apesar de serem muito próximas, privacidade e segurança falam de coisas diferentes e acabam por se complementar.
A privacidade foca em como os dados pessoais são gerenciados, ou tratados de acordo com a LGPD. Ou seja, a privacidade atua sobre o direito dos indivíduos em controlar suas informações pessoais.
Na prática, para as empresas garantirem a privacidade dos dados de seus clientes, as ações devem ser baseadas na transparência com os donos dos dados (titulares de dados).
Já a segurança da informação trata sobre a segurança dos processos por meio de gestão de pessoas e utilização de tecnologias.
Na prática, a segurança funciona como um escudo para as empresas, mas esse escudo pode ser transparente ou não para os clientes.
Com essas definições podemos enxergar a dependência de uma com a outra. Então, na próxima vez que você entrar em contato com um “guru” de LGPD e ele vender apenas soluções miraculosas que afetam somente a privacidade, corre que “É Cilada, Bino!”.
Documentos são essenciais, assim como a gestão de segurança da informação
Reforçando a questão da diferença entre privacidade e segurança da informação, um negócio não garante total adequação apenas com uma política de privacidade e termos contratuais em dia com a LGPD.
Com apenas estes passos a proteção efetiva dos dados pode não estar sendo feita. Portanto, é necessária a adoção de medidas de segurança da informação previstas em outras normativas, geralmente internacionais.
Dentre uma das normas internacionais, podemos citar a família ISO 27000.
A ISO 27000 aborda de forma completa toda a gestão de segurança da informação em uma empresa, além de identificar e propor controles de segurança desde o nível gerencial até o operacional.
Podemos identificar inúmeros controles de segurança nesta ISO, que vão desde controles de Organização da Segurança da informação, passando por Controle de Acesso e Segurança Operacional até Gestão de Continuidade de Negócios e Conformidade. Vale ressaltar que a norma destaca 11 grupos de controles de segurança da informação.
Em resumo
É importante que antes de começar um projeto de privacidade no seu negócio, você se faça as seguintes perguntas:
- Será mesmo que apenas esses documentos garantem a segurança?
- Será que estou sendo transparente com meus clientes sobre as ações de segurança que tenho no ambiente corporativo?
- Meu negócio está vulnerável juridicamente (privacidade) ou tecnicamente (segurança da informação)?
- Será que este produto ou serviço que estão me oferecendo abrange tanto segurança da informação quanto privacidade?
Tendo as respostas claras para essas perguntas, é possível que sua jornada de enquadramento a LGPD e ao ISO 27000 se tornem bem menos obscuras.
Sua empresa já está de acordo com as exigências da Lei Geral de Proteção de Dados? Precisa de ajuda para adequação? Conheça nossas soluções.
Especialista em SegInfo
Compartilhe esse artigo!
