Nova Lei De Proteção Dados e a Auditoria Interna

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

  • Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
  • Classificação dos dados: dados pessoais e dados pessoais sensíveis;
  • Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
  • Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

  • Solicitação de confirmação da existência de dados pessoais;
  • Acesso aos próprios dados.
  • Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
  • Anonimizar, bloquear ou excluir dados tratados indevidamente;
  • Portabilidade dos dados para outra empresa;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

  • Data Discovery
  • Data Quality, Integrity & Cleansing
  • Data Classification
  • Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.

Como Mapear Problemas e Chegar à Uma Resolução na Auditoria Interna?

Como mapear problemas e chegar à uma resolução para mitigar riscos?

Este dilema é natural da vida e abrange todos os campos: pessoal, familiar, profissional e até mesmo corporativo.

Se você é auditor interno, auditor externo, consultor de riscos ou profissional de compliance você talvez utilize outros termos: “identificar falhas de controle, mapear GAPS, mitigar riscos materializados”.

Apontamentos são essencialmente problemas.

Na sua companhia, você já deve ter se deparado com projetos, normalmente realizados por consultorias, para adequar processos ou resolver problemas que ninguém conseguiu até agora.

São inúmeras metodologias, que normalmente trazem consigo neologismos e uma sopa de letrinhas: 5W2H, LEAN, KANBAN, Ishikawa, SCRUM, Pareto (8020), SWOT, SMART

Em 1637, o filósofo e matemático René Descartes se propôs a definir um método de raciocínio lógico para a resolução de problemas. Na matemática, seu nome deu origem ao plano cartesiano. Já na filosofia, podemos citar o pensamento cartesiano. Em seus escritos, Descartes propôs 4 passos simples para a resolução de qualquer problema.

Existe um método infalível para resolver problemas?

Trata-se de um algoritimo que é base para a maioria das metodologias citadas anteriormente.

Veja os 4 passos descritos por ele para mapear problemas:

  • Ceticismo
  • Categorização
  • Priorização
  • Revisão

Qual é a aplicação prática disto? Vejamos cada um deles…

1 – Ceticismo

Nem tudo é verdade!

Ao mitigar riscos, toda afirmação é falsa até que se prove o contrário. O ceticismo é uma poderosa ferramenta de análise na identificação de problemas. Ele evita que premissas falsas sejam assumidas como verdadeiras e comprometam toda a análise.

Receber escrupulosamente as informações, examinando sua racionalidade e sua justificação. Verificar a verdade, a boa procedência daquilo que se investiga – aceitar o que seja indubitável, apenas.

René Descartes, Discurso do Método

Ao mapear problemas, procure validar cada argumento, declaração e regra. Mesmo que exista um manual técnico, uma política corporativa, será que no dia a dia essas regras são cumpridas? Existe algum controle que impeça o descumprimento dessa regra? Este controle interno funciona?

Antes de partir para o próximo passo pergunte-se: este problema é realmente um problema? Preciso gastar tempo e recursos para análise? Qual a probabilidade de isso ocorrer? Se ocorrer qual seria o impacto? Isto está claro na minha matriz de riscos?

2- Categorização

Divida o desafio em partes

Dividir para conquistar – você já ouviu isso! Dividir um problemão em probleminhas ajuda a ter uma visão do todo. Fica mais fácil categorizar, definir prioridades, papéis e responsabilidades.

Análise, ou divisão do assunto em tantas partes quanto possível e necessário

René Descartes, Discurso do Método

Qual é a origem? Interna ou externa? Vem de uma obrigação legal (compliance)? Uma nova lei?

Consigo resolver a questão sozinho ou há dependência de mais alguém? A dependência é interna ou externa?

Qual é o grau de complexidade destas atividades? Qual delas atacarei primeiro?

3- Priorização

Do mais simples para o mais complexo

Inicie pelas tarefas mais simples.

Síntese, ou elaboração progressiva de conclusões abrangentes e ordenadas a partir de objetos mais simples e fáceis até os mais complexos e difíceis.

René Descartes, Discurso do Método

Segundo Pareto, em termos simples, 80% do resultado está em 20% do trabalho. Porém iniciar por atividades mais simples e triviais ao identificar falhas, permite que você complete a maior parte do trabalho em pouco tempo.

A resolução traz satisfação pessoal e motivação para resolver os próximos passos necessariamente mais complexos.

4- Revisão

Revisar todos os passos

A revisão meticulosa do que foi feito evita o retrabalho e permite identificar falhas. Nenhuma obra prima saiu de primeira. Aceite! Revise e procure por erros e desatenções no seu programa de testes.

Enumerar e revisar minuciosamente as conclusões, garantindo que nada seja omitido e que a coerência geral exista.

René Descartes, Discurso do Método

Se algo não está funcionando após algumas tentativas: pare! Tome um café, converse sobre um assunto de interesse pessoal.

Quando retomar o assunto, revise sua análise e mude de estratégia. Repetir análises incorretas trazem os mesmos resultados errados.

Parece desnecessário falar isso, mas as vezes entramos em looping ao tentar resolver desafios: executamos insistentemente o mesmo passo a passo esperando resultados diferentes.

Mapear padrões para resolver desafios, corrigir processos e mitigar riscos exige treino e metodologia.

Referências Bibliográficas

O Discurso do Método, René Descartes (E-book Amazon)