Pular para o conteúdo principal

LGPD | Não há uma área resposável por ela, mas sim toda a organização

LGPD | Não há uma área resposável por ela, mas sim toda a organização

Por Rodrigo Magdalena

Sempre que algo relacionado aos temas Privacidade de Dados ou Segurança da Informação se torna evidente, como a implementação de uma regulação (que é o caso da LGPD), muito se questiona sobre quem é, de fato, o responsável pela sua implementação e manutenção.

Mas antes mesmo da disseminação da cultura de proteção de dados a área de Tecnologia da Informação sempre sofreu com este estigma quando qualquer aspecto que envolvesse tecnologia fosse necessário e, consequentemente, acabou por acumular funções que extrapolavam suas atribuições e, pior do que isso, colocou em risco as operações das organizações. pois pessoas sem a devida qualificação funcional operavam funções sensíveis.

Um grande exemplo disso, e já misturando Tecnologia da Informação, Segurança da Informação e Privacidade de Dados são os poderes que um administrador de redes possuía há até pouco tempo atrás (senão até hoje em determinadas corporações - independente de seu tamanho), onde esta figura, além da função técnica de implementar, manter e suportar a plataforma de comunicação que a empresa ou qualquer tipo de organização utilizava, também fazia as vezes de várias outras áreas, como Jurídico (determinando o que poderia ou não ser feito no ambiente virtual), Recursos Humanos (habilitando, desabilitando e tendo acesso a dados pessoais dos funcionários) e da liderança de cada área, uma vez que também tinha acesso irrestrito ao conteúdo de tudo que era desenvolvido e armazenado, podendo, sem nenhum tipo de controle, acessar e fazer o que bem entendesse com este conteúdo, acima de qualquer suspeita.

Atualmente a história se repete: Ao identificar a necessidade de ser certificada na norma ISO 27001, por exemplo (seja para apenas melhorar sua maturidade no assunto ou mesmo para obter vantagem competitiva em licitações e concorrências privadas) normalmente todo o fardo de sua idealização e sensibilização automaticamente são acoplados nos atributos genuínos da área, que é seu desenvolvimento, implementação, manutenção e suporte; Embora toda a parte de mobilização seja de responsabilidade não de uma área, mas de sua direção e, consequentemente, de toda a liderança, sem exceções.

E agora, com a LGPD, isso acontece de uma forma ainda mais curiosa, já que estamos tratando de Privacidade de Dados (o que liga o alerta imediatista de que é algo que deve ser imediatamente atribuído a esta área, seja ela com este nome ou mesmo identificando Segurança da Informação como seu equivalente) ou (e também) ao departamento Jurídido (afinal, trata-se de uma lei a ser implementada).

Porém, refletindo sobre isso, então seria certa fazer uma analogia onde qualquer ação que envolva o uso de tecnologia seja de responsabilidade da área de TI; ou tudo relacionado à comunicação seja estritamente problema de Marketing; ou então qualquer tratativa com funcionários deva ser feita apenas por Recursos Humanos?

Não! A tecnologia, as pessoas, os processos e tudo que envolve uma organização têm, sim, seus responsáveis, mas algo tão abrangente quanto ao comprometimento com uma lei, regulação, padrão, etc deve ser adotada como tarefa de todos, e não terceirizada a um único departamento (afinal, quem ainda não viu ou até participou do departamento da ISO 27001ou então conhece ou é o dono da LGPD?).

As pessoas (lideranças e operações) devem se conscientizar de que, no caso da LGPD, são todos responsáveis pelo tratamento e proteção dos dados pessoais que ali trafegam, utilizando áreas especialistas como suporte, mas jamais como responsáveis pela atividade-fim.

Ou seja, de nada adianta formar-se uma área ou mesmo uma força-tarefa com mais de um departamento para estudar, desenvolver, implementar, comunicar, treinar, manter e dar suporte à LGPD se toda a organização não estiver em sintonia com este objetivo e absorver isso como parte de sua cultura e do seu modus operandi em situações de sua realidade cotidiana.



Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais