ARTIGO
41
Por Por Jefferson Kiyohara, líder da
prática de riscos & compliance
ais, que são aqueles que tratam do indivíduo e permitem a sua identificação. Podem ser da-
dos obtidos diretamente pela organização, ou através de terceiros. Todo o fluxo de obten-
ção, uso, processamento, disponibilização para outro processo e armazenamento destes
dados precisam ser mapeados, bem como compreendido como é feita a gestão e quem são
os responsáveis. A nova lei prevê, por exemplo, o direito de a pessoa transferir ou excluir
os seus dados. Logo, a empresa precisará definir um processo interno para que isto seja
feito de forma ágil e segura nos casos aplicáveis. Também será importante estruturar um
processo de gestão de crises adequado à realidade da empresa para responder a eventuais
incidentes de segurança.
Na etapa de Sistemas e Tecnologias, o ambiente de TI da empresa precisa ser tecnicamente
avaliado. E esta não é uma preocupação recente. Uma pesquisa recente pesquisa inter-
nacional realizada com 728 executivos de diversas regiões do mundo demonstra que as
ameaças cibernéticas estão entre os três principais riscos na visão dos executivos. Redes,
servidores e outros dispositivos por onde trafegam e ficam armazenados dados pessoais
precisam estar adequadamente configurados e parametrizados para prover o nível de pro-
teção necessário. Segurança e prevenção são dois dos princípios previstos na lei brasileira
e que devem ser seguidos pelas organizações. A realização de testes de invasão e avaliação
das vulnerabilidades do ambiente de TI permitem a identificação de falhas e brechas que
poderiam ser utilizadas para vazamento indevido de dados, e a atuação preventiva pelas
empresas com ações mitigatórias.
Na etapa de Aspectos Legais, regras e documentos já adotados na coleta e tratamento de
dados pelas empresas, avisos, política de privacidade, termos e contratos de uso de dados
precisam ser revisados sob a ótica da nova lei e readequados para a nova realidade. Dames-
ma forma, deve ser avaliado, se necessário, o desenvolvimento de novos normativos e do-
cumentos alinhados aos requisitos legais. Clareza, transparência e boa fé são fundamentais
no tratamento dos dados, e também na obtenção de consentimento do titular dos dados.
Odiagnóstico contemplando estes três elementos trará uma visão de etapas que precisarão
ser realizadas de forma priorizada, permitindo a melhor alocação de recursos por parte da
empresa, além de avaliar a real necessidade de manter, ou não, processos que demandem
dados pessoais, e se os mesmos estão alinhados com a estratégia e valores da empresa. Há
ainda a hipótese do diagnóstico servir para identificar se existe a necessidade de adequa-
ção e melhorias por parte da empresa, e se os riscos identificados estão alinhados com o
apetite de risco da organização.
