Nos tempos atuais, um dos principais temas relacionados à tecnologia em negócios é o de Proteção de Dados. E com o advento da Lei Geral de Proteção de Dados, baseada na sua predecessora europeia GPRD*, a posse e manutenção de informações pessoais se tornou um desafio ainda maior. Essa premissa aliada às vantagens do Business Process Management consegue facilitar e desenvolver a cultura de segurança da informação em qualquer contexto.
E para isso, é interessante contar com uma equipe capacitada e com um líder: o Data Protection Officer (DPO). Esse time, agregado à uma equipe de processos e preferencialmente um corpo jurídico, trará resultados e maior clareza na tutela das informações pessoais e sensíveis dos indivíduos. Através de boas práticas e conformidades à LGPD, Lei de Informática, Marco Civil da Internet e similares, que se alcança transparência e seguridade na gestão e manipulação de dados.
Abaixo, alguns dos principais tópicos a serem considerados em uma boa gestão LGPD em processos:
Levantamento, classificação e encapsulamento de processos:
Dados obtidos devem ser plenamente conhecidos, assim como sua finalidade, armazenamento, prazo e meio de descarte. Essas informações são compiladas em uma Matriz de Dados: um documento descritivo dos dados organizados por Processos, Forma de Captura, Armazenamento (Storage) e Remoção de Dados (Discard Data). Para assim haver boa gestão, manutenção e rastreamento dos dados.
Mapeamento de processos (AS-IS):
Aliado à coleta e catalogação dos dados, a tarefa de Process Mapping vai compreender os elementos de segurança utilizados nos processos (riscos, sistemas, indicadores, regras de negócio, informações, etc) de acordo com as conformidades e regimentos. Também é enfatizada a necessidade de entender os conceitos de Dados Pessoais (dados básicos de pessoa física: Nome, Endereço, CPF, …) e Dados Sensíveis (dados característicos e segregantes: sexo, raça, religião, biometria, etc).
Melhoria de processos (TO-BE):
Neste ponto, pode-se fazer ajustes e adequações dentro das conformidades com a LGPD. O objetivo desde procedimento consiste em tentar: eliminar, unir, enxugar ou otimizar dados (paralelamente visando vulnerabilidades e possíveis falhas). E busca por criar/manter boas práticas e governança, documentação, estruturação do sistema de tratamento de dados, entre outros upgrades em Data Protection**. Essa atividade se baseia no conceito de melhoria contínua (Kaizen) e se adequa a qualquer alteração possível nas leis.
Transparência para clientes:
Igualmente fundamental, é necessário definir os parâmetros de temporalidade e destinação dos dados cedidos para processos e sistemas. Sem a clareza da empresa e seus beneficiados, é difícil manter boa comunicação e resolução de possíveis conflitos da melhor maneira. E mais ainda, poderá gerar graves consequências jurídicas ao não garantir o principal objetivo da LGPD: transparência no uso dos dados pessoais.
*General Data Protection Regulation (Lei de proteção de dados europeia)
** Proteção de Dados
Texto escrito por:
Luís Henrique Krupp
Head of Infrastructure and Security
