Tags gdpr - Auditoria Interna, Auditoria Contínua e Data Analytics

Dados, Informação e Conhecimento

Os dados têm um ciclo de vida bastante complexo nas organizações. Dados podem ser criados, importados, modificados, detectados, classificados, rotulados, protegidos, enviados, compartilhados, movidos, monitorados, retidos, expirados e por fim deletados. Esse rico conjunto de dados, quando relacionados, pode ser chamado de informação.

No passado os cursos de tecnologia eram chamados de Processamento de Dados. Hoje com o Big Data, o simples processamento é obsoleto. Os cursos passaram a se chamar Tecnologia da Informação. O volume, variedade, e velocidade de processamento dos dados (e das informações) foi evoluindo com o passar do tempo.

Hoje, as informações são correlacionadas e com técnicas de business intelligence, matemática, estatística e análise de dados, transformam-se em conhecimento. A inteligência artificial permite ainda associações improváveis e análises preditivas com grande margem de assertividade.

As ferramentas microsoft para LGPD abrangem 4 pilares: conformidade, gestão de identidade, proteção de identidade e segurança da informação.

O Security & Compliance Center ajuda na conformidade, por exemplo na apuração de denúncias do Canal de Conduta. A ferramenta eDiscovery permite gerenciar investigações legais com pesquisas indexadas, hold (congelamento) de dados para pesquisas futuras, atribuição de papéis e responsabilidades durante a avaliação do caso.

Saiba mais sobre estes tópicos comuns no ITGC e Auditoria de TI:

Segurança da Informação

De acordo com a ABNT NBR ISO/IEC 17799, a segurança da informação consiste em formas de proteger dados através de regras firmes, ou controles, bem definidos, implementados e em constante monitoramento, que garantem a Continuidade de Negócios.

A segurança pode ser controlada com as seguintes propriedades básicas:

Confidencialidade: garantir que apenas indivíduos autorizados tem acesso às informações;

Integridade: garantia de que os dados não foram alterados e estão armazenados sem falhas;

Disponibilidade: a informação deve estar acessível ao usuário à qualquer tempo necessário;

Não-repúdio: deve servir como prova legal sem margem para dúvidas da autoridade legal;

Autenticidade: originalidade, veracidade, identificação da real origem da informação.

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
Classificação dos dados: dados pessoais e dados pessoais sensíveis;
Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

Solicitação de confirmação da existência de dados pessoais;
Acesso aos próprios dados.
Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
Anonimizar, bloquear ou excluir dados tratados indevidamente;
Portabilidade dos dados para outra empresa;
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

Data Discovery
Data Quality, Integrity & Cleansing
Data Classification
Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.