#bomdialgpd

Quando dava aula de segurança da informação iniciava com uma analogia da proteção de um prédio: a responsabilidade da segurança é de proteger todas as entradas, portas, janelas, cômodos e passagens e utilizando artefatos legais; por outro lado para o atacante ser 'bem sucedido' basta conseguir invadir por um dos acessos e para isso ele utiliza recursos ilegais.

É desproporcional: o sucesso de um depende de proteger 100% e monitorar de forma contínua, o do outro de explorar uma falha.

Na LGPD - e em outros setores - é bem parecido; os responsáveis pela conformidade com a lei precisam inventariar, classificar, proteger e monitorar todas as operações de tratamento de dados pessoais, processos, áreas, sistemas, repositórios, contratos e agentes de tratamento e ainda contar com equipes e conhecimentos multidisciplinares, desenvolver e implementar políticas e recursos técnicos e organizacionais. Do outro lado a violação é caracterizada como uma falha, que pode ser por exemplo: na proteção de um banco de dados, no controle de acesso de um sistema ou na resposta a um titular. É um grande desafio.

Os modelos de conformidade corporativa exigem o domínio do inventário e da priorização dos itens por severidade (ou risco, ou criticidade, ...) e a partir daí atuar proporcionalmente começando pelas áreas, processos, operações, sistemas, contratos e agentes de tratamento mais críticos.

Para chegar ao todo é essencial a visão de proporcionalidade, considerar que todos os ativos têm a mesma relevância faz gastar recursos e tempo essenciais.

Não tem mágica. É preciso ter processos de gestão organizados e apoio de uma equipe multidisciplinar.

Obrigado,

Abraço,

FNery