LGPD e a Mega Sena da Virada – agora ou nunca

LGPD e a Mega Sena da Virada – agora ou nunca

LGPD e a Mega Sena da Virada - agora ou nunca

Falta aproximadamente um ano (se não houver nenhuma alteração da data de vigência) para que a Lei nº 13.709/2018, conhecida por Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), entre em vigor.   Esta é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7 e 16 do Marco Civil da Internet.

Esta nossa legislação nos moldes da GDPR – General Data Protection Regulation da Comunidade Europeia altera a forma de tratamento, armazenamento e principalmente da divulgação de dados considerados pessoais.

A adequação de uma empresa, de qualquer porte, para atender aos requisitos desta lei pode ser um esforço muito grande, desde a conscientização dos seus colaboradores, alteração nos processos, implantação ou adequação de vários mecanismos de segurança da informação, incluindo cibernética, e a criação da função do DPO – Data Protection Officer, dentre outras atividades a serem executadas.

A ONDA QUE TODOS QUEREM SURFAR

É uma oportunidade única, não haverá outra LGPD tão cedo, talvez uma revisão daqui a alguns anos, por isso, como já escrevemos no post GDPR LGPDP e Continuidade dos Negócios, é A ONDA que todos querem surfar.

Propostas comerciais de implantação com valores de 5 até 6 dígitos são comuns assim como as de terceirização do DPO, com praticamente nenhuma responsabilidade assumida, por 4 dígitos/mês.

É praticamente a Mega Sena da Virada.   Todos querem ganhar e de preferência um prêmio bem polpudo.

E não bastasse tudo o que precisa ser feito, que não é pouco, empresas e consórcios de consultorias insistem na necessidade dos Planos de Continuidade de Negócios como pré-requisito para a adequação à LGPD.

Continuidade de Negócios é pré-requisito para a LGPD?

Alguns argumentam que esta necessidade deriva da “obrigatoriedade da disponibilização das informações do titular”.   Ora, isto não tem absolutamente nada a ver com Continuidade de Negócios.   Tem a ver, em primeira instância, com disponibilidade da informação e, em segunda instância, com a Política de Backup & Recovery, esta sim, uma componente da Continuidade de Negócios, mais especificamente, do Plano de Recuperação de Desastres – DRP.   Mas daí a dizer que é pré-requisito é uma distância enorme.

Outros argumentam que há a necessidade da continuidade dos processos que sustentam a LGPD sendo, portanto, mandatória a Continuidade de Negócios.   A Continuidade de Negócios existe para assegurar a continuidade de produtos, serviços e processos classificados como críticos para a sobrevivência da organização.   Não existe(rá) um processo de LGPD uma vez que a LGPD estará inserida nos processos que tratam dados pessoais de usuários.   Existirá, sim, um processo de gestão da LGPD, assim como existem os processos de controles internos, compliance e muitos outros processos de gestão que num cenário de desastre podem ficar inoperantes por algum tempo.

E por último, os consultores de segurança da informação argumentam da necessidade da continuidade dos processos de segurança da informação de forma a assegurar a continuidade da LGPD em qualquer cenário implicando, portanto, na continuidade de negócios.   Esta continuidade da segurança da informação é um requisito da norma ISO/IEC 27001:2013 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos e não da norma ISO 22301:2012 Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos, tema abordado no nosso post/vídeo A Evolução da Continuidade de Negócios no Brasil.   Esta confusão de conceitos criou uma tremenda distorção histórica no Brasil devido a um problema na tradução da norma original em inglês, fazendo entender que continuidade de negócios seria de responsabilidade da área de segurança da informação e não o entendimento correto de que a área de segurança da informação deve garantir a continuidade dos seus processos e controles.

Seja qual for o argumento apresentado, as relações da LGPD com a continuidade de negócios são muito pequenas, no melhor dos casos numa eventual resposta a um incidente de segurança da informação que implique na divulgação não autorizada de uma informação pessoal.

Qualquer outro argumento é querer surfar a onda LGPD ou ganhar na mega sena da virada, SOZINHO!

#ficaadica

Quer saber mais sobre os nossos serviços e cursos de Continuidade de Negócios?   Por favor preencha o formulário abaixo.

 

Leave a comment