Saiba como adequar o armazenamento em nuvem à LGPD

8 minutos para ler

Estar em conformidade com a LGPD (Lei Geral de Proteção de Dados) não é somente uma preocupação dos setores jurídicos de uma empresa. Existe um cuidado especial que deve ser tomado pela gestão de TI: o gerenciamento das tecnologias e a garantia de proteção de dados nas aplicações e sistemas internos. Nesse sentido, o armazenamento em nuvem também está incluído e precisa ser encarado como prioridade.

Ainda existem alguns desafios a serem solucionados quando pensamos na compliance da cloud com a lei. Por isso, se quiser saber mais a fim de adaptar a sua companhia e evitar problemas de custos e imagem, acompanhe os tópicos a seguir.

Conceitos da LGPD

A Lei Geral de Proteção de Dados é a nova lei de privacidade e segurança sancionada em 2018 e que entrará em aplicação em 2020 no Brasil. É a versão nacional da GDPR (General Data Protection Regulation), lei europeia, e busca também estabelecer transparência na relações de negociação entre empresas e clientes, bem como garantir mais controle para os titulares dos dados.

Um dos principais pontos é a importância da finalidade e necessidade no tratamento de dados. Cada empresa deverá apresentar claros motivos para utilização de informações pessoais. Assim que esse objetivo for cumprido, informações terão que ser excluídas das bases. Essa medida ajuda a assegurar que não haja usos escusos, nem haja perigo de dados em excesso sob um gerenciamento desorganizado.

Outra questão é o consentimento do usuário, que ganha contornos mais fortes nessa lei. A coleta poderá necessitar de um acordo com o titular, bem como cada ação realizada. Da mesma forma, caso o cliente decida que não quer mais que a companhia armazene suas informações, a vontade dele tem que ser cumprida em muitos dos casos.

Ademais, o consumidor precisa dispor de livre acesso aos dados e transparência em todas as etapas do tratamento. Além de solicitar remoção da base, ele pode pedir que as informações sejam atualizadas ou alteradas. As companhias precisam estabelecer centrais de comunicação e facilitar o contato do usuário.

A portabilidade é outro direito do cliente que demonstra a sua autonomia segundo os trâmites da lei. Ele deve ser capaz de obter os dados em um formato padronizado para transferência para outras plataformas.

Dados pessoais e tratamento

Segundo a lei, dados pessoais são aqueles que permitem a identificação de uma pessoa, ou seja, são únicos para cada ser humano. Já o tratamento é qualquer ação realizada com a utilização dessas informações.

Controlador e operador

A LGPD também define algumas responsabilidades: os papéis dos controladores e operadores.

Controladores são empresas ou pessoas que tomam decisões relacionadas ao tratamento de informações pessoais. Já o operador é a empresa/pessoa que realiza o tratamento em nome do controlador. Ambos são importantes agentes na coleta, processamento e armazenamento de dados e devem se adequar às regras.

Necessidade de segurança

Diante disso, fica claro que as companhias precisam reforçar a segurança de dados e optar por mecanismos completos de proteção. Assim, percebemos como a TI também está envolvida na conformidade, já que tem como obrigação fornecer um gerenciamento completo e seguro das bases, com responsabilidade e visibilidade. É preciso utilizar firewalls, antivírus, sistemas automatizados e outras ferramentas.

Caso não haja compliance, a empresa pode sofrer penalidades que vão de uma advertência a R$ 50 milhões. Além disso, os dados poderão ser bloqueados até que haja uma solução da situação.

Em casos de incidentes, a empresa tem um prazo de até 72 horas para notificar os titulares e os órgãos responsáveis do governo, com uma definição clara do problema e do que está sendo feito para resolvê-lo.

Adaptação da nuvem com a LGPD

Como falamos na introdução, a computação em nuvem está no centro das preocupações de empresas que precisam de conformidade com a LGPD. Veremos a seguir algumas medidas para garantir adequação.

Mapeamento dos dados

A companhia deve conhecer os dados que utiliza e gerenciar as bases com visibilidade e transparência. É importante saber onde estão as informações pessoais dos clientes e acompanhar o ciclo de vida delas, a fim de assegurar que estejam devidamente acessíveis quando os titulares solicitarem alguma modificação. Mapear é controlar as informações utilizadas em cada processo.

Essa parte também inclui categorização das informações como: de maior risco, menor risco e o que são confidenciais. Essa estratégia ajuda no controle e na garantia de proteção.

Entender e saber quais dados estão armazenados em nuvem, deve fazer parte do mapeamento de dados. Vale lembrar que , se a empresa usa cloud publicas para hospedar o os dados, neste caso a empresa de cloud aparece para a Lei, como operadora, devem exigir do fornecedor as medidas de proteção cabíveis.

Criptografia

Estando os dados com armazenamento em nuvem de um operador, a solução de criptografia aparece com uma das boas alternativas para mitigar este risco.

A criptografia consiste em codificar informações de modo a mascarar o seu valor e torná-lo acessível apenas para o emissor e o receptor.

Por essa razão, é uma ótima maneira de estabelecer confidencialidade dos dados, ou seja, garantir que apenas as pessoas autorizadas tenham acesso. Essa visibilidade restrita facilita a prevenção de ataques e mal uso da informação, já que torna mais difícil a compreensão das informações e a exposição delas.

Monitoramento

Um dos princípios da LGPD é o de privacidade por padrão, ou privacy by design. Refere-se a um cuidado com a privacidade em todos os pontos do desenvolvimento de um produto ou da concepção de um serviço. Nesse prisma, o monitoramento constante das informações com armazenamento em nuvem é imprescindível para assegurar que esse pilar seja respeitado.

Essa estratégia favorece o controle mais rigoroso dos líderes. Isso também possibilita um gerenciamento eficiente de vulnerabilidades e riscos, com uma visão que identifica problemas com antecedência. Como a cloud representa uma certa descentralização dos dados, a gestão precisa acompanhar tudo de perto.

Controle dos backups

Realizar backups é uma ótima prática para reforçar a segurança digital em uma companhia. As cópias ajudam a garantir a redundância dos dados e permitem que eles estejam sempre disponíveis, possibilitando a restauração mesmo em casos de ataques ou perdas.

Naturalmente, eles já são implementados por provedores da nuvem, sendo, inclusive, uma das vantagens desse paradigma.

Contudo, é preciso atentar para o controle e a administração desses backups. Quando o cliente solicitar alterações ou exclusão, as ações devem afetar todas as versões e cópias também. Assim, faz-se necessária uma gestão mais segura desses dados copiados.

Desafios da LGPD para armazenamento em nuvem

A computação em nuvem é uma inovação que permite que as empresas controlem serviços de maneira descentralizada. Tudo fica disponível na internet, e a companhia não precisa arcar com uma infraestrutura física. Contudo, existem alguns desafios a serem superados na corrida por conformidade com a lei de proteção de dados.

Por isso, inclusive, muitas companhias não sabem como proceder. Segundo um estudo mundial da CommVault, 12% das empresas ainda não compreenderam como leis de privacidade afetarão seus serviços. Os pontos de confusão incluem os que mencionaremos a seguir.

Descentralização

A própria descentralização é uma preocupação. Se a LGPD requer uma mudança cultural nos hábitos da empresa, com um cuidado maior com privacidade e segurança, isso deve se estender aos provedores da cloud também. É importante garantir alinhamento entre organizações e sistemas de armazenamento a fim de evitar transtornos.

Nesse sentido, a volatilidade torna a gestão ainda mais complexa. Os dados na nuvem não ficam armazenados em um local fixo e podem ser dispostos em bases sob uma diferente jurisdição, com diferentes regras, por exemplo.

Responsabilidade

Outro desafio é a compreensão com relação à responsabilidade compartilhada entre as companhias e os operadores. Em casos de serviços como SaaS (software como um serviço), a equipe contratante apenas garante o controle de acesso.

Já em PaaS (plataforma como um serviço), é preciso administrar os usuários e os desenvolvedores. Em IaaS (infraestrutura como um serviço), o contratante já assume as funções de segurança da rede e da plataforma. Desse modo, é preciso conscientização interna com relação às responsabilidades e alinhamento com as companhias que oferecem serviços na cloud.

O armazenamento em nuvem é uma abordagem efetiva para redução de custos e garantia de flexibilidade na gestão de dados. No entanto, essa tecnologia deve ser gerenciada para viabilizar a conformidade com a Lei Geral de Proteção de Dados, com foco nos pontos mencionados e nos pilares da segurança da informação.

Agora que você já sabe mais sobre o assunto relacionado ao armazenamento em nuvem, assine a nossa newsletter e receba outros conteúdos em seu e-mail.

Você também pode gostar