Como o DLP ajuda sua empresa na conformidade com a LGPD

A Lei Geral de Proteção de Dados (LGPD) passou a viger em 18 de setembro de 2020 com o intuito de proteger os dados pessoais contra acessos não autorizados e situações acidentais (Ex: perda de dados) ou tratamento de dados realizado de forma inadequada.

Pensando nisso, a referida lei exige das empresas, independente do porte, a observância e o cumprimento de um ou mais requisitos para o tratamento de dados pessoais.

No cenário atual, mais do que aplicar sanções que afetem diretamente a condição econômica da empresa, não aplicar a LGPD pode trazer prejuízo reputacional perante os clientes e, a depender da área em que atue, poderá sofrer dificuldades de continuidade de suas atividades frente ao mercado.

Desta forma, este artigo mostrará como uma solução de prevenção de perda de dados pode ajudar a sua empresa no processo de conformidade com a LGPD.

A LGPD em seu art. 46 é bem clara quando exige das empresas a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, senão vejamos:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Note-se que o verbo “devem” é obrigação legal e que se não for cumprida poderá possibilitar a aplicação de sanções administrativas.

O Data Loss Prevention (DLP) é um conjunto de ferramentas e processos usados para garantir que dados confidenciais não sejam perdidos, usados indevidamente ou acessados por usuários não autorizados. Mas como o DLP pode ajudar a sua empresa na conformidade com a LGPD?

Soluções como o Epsoft DLP são algumas das ferramentas mais valiosas para a conformidade com a LGPD, sendo projetada para monitorar todas as atividades de usuários de estações de trabalho e principalmente alertar e até bloquear tentativas, intencionais ou não, de capturar dados de clientes, dados financeiros e propriedade intelectual que devam ser protegidos pelas organizações. Dessa forma, eles garantem que os dados confidenciais do cliente sejam identificados, controlados e registrados para atender aos requisitos da lei.

Um dos primeiros requisitos a serem observados pela empresa, é saber onde seus dados estão armazenados. Logo, para iniciar o projeto de adequação a LGPD é necessário fazer um inventário de dados pessoais, também chamado de “data mapping” (mapeamento de dados). Isso significa que a empresa precisa ter conhecimento onde os dados estão sendo armazenados, para onde estão sendo enviados e quem os está acessando.

O software DLP atua como um aplicador das políticas de segurança de dados da empresa e normalmente vem munido de serviços de descoberta de dados, além de permitir que o administrador explore todos os dispositivos à procura de dados protegidos. Ele monitora e controla as atividades de endpoint, filtra fluxos de dados em redes corporativas e monitora dados na nuvem para proteger os dados em repouso, em movimento e em uso. 

O DLP classifica dados regulamentados, confidenciais e críticos para os negócios e identifica violações de políticas definidas por organizações ou dentro de um pacote de políticas predefinido, normalmente orientado por conformidade regulamentar, como HIPAA, PCI-DSS ou GDPR/LGPD, ajudando a criar um inventário de dados.

Dessa forma, administradores e gestores conseguem executar e extrair relatórios para auxiliar na melhor tomada de decisão nos casos de resposta a incidentes. e ainda, mediante solicitação encaminhá-lo à Autoridade Nacional de Proteção de Dados (ANPD).

Um segundo requisito importante que precisa ser considerado pela empresa é excluir dados pessoais quando for necessário ou não for mais necessário.

De acordo com o LGPD, o titular tem o direito de exigir a exclusão de suas informações caso o objetivo do processamento tenha sido concluído ou se não quiser manter mais nenhum tipo de relacionado com o controlador. Ou seja, a empresa deve excluir definitivamente as informações, não estando autorizada a reter nenhum tipo de dado do usuário, observando as diretrizes do art. 16 da LGPD.

Para que as empresas sejam capazes de atender ao direito do titular dos dados, é requerido que se organizem internamente quanto a pessoas, processos e ferramentas, que as permitam conhecer seus processos de tratamento, o fluxo e o local de guarda dos dados, bem como acessá-los para realizar as ações necessárias.

Uma solução DLP pode ajudar com as solicitações de exclusão de dados através de seus recursos de digitalização de dados em repouso, permitindo que as empresas encontrem dados específicos em suas redes e realizem ações de remediação, como exclusão ou criptografia.

Outro requisito indispensável para a empresa é limitar o uso de dados pessoais, isto porque a LGPD exige que as empresas além de terem propósitos determinados ao tratar dados pessoais, deixem claras as suas intenções para o titular dos dados, justificando e apontando o uso dos dados pessoais.

As soluções DLP também podem ajudar as empresas com esse requisito de conformidade, utilizando scanners para identificação de dados confidenciais e monitoramento dos seus movimentos. Após ser feita a descoberta dos dados, os administradores conseguem bloquear e até restringir sua transferência para fora ou dentro da organização.

De acordo com a LGPD em seu art.46, as empresas devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.  

As soluções de DLP são essenciais nesse processo, evitando incidentes que podem levar a violações de dados, digitalizando e monitorando dados em repouso e em movimento. A análise é baseada em políticas predefinidas de ações a serem tomadas após um possível problema ser identificado. Essas soluções podem ajudar a garantir que vulnerabilidades sejam devidamente combatidas nos sistemas de empresas.

Adequar-se à LGPD é uma potente estratégia para as empresas que desejam estabelecer um relacionamento duradouro de confiança e respeito com seus clientes.

Como previsto no art. 25 da GDPR (General Data Protection Regulation), a LGPD ao longo dos seus princípios exige que as empresas garantam e incorporem a privacidade e a proteção de direitos e liberdades dos indivíduos às práticas de negócio antecipadamente, o chamado Privacy by Design. Ou seja, a privacidade deve ser uma configuração padrão desde a concepção do projeto, produto ou serviço, integrando-o desde a criação.

As empresas também devem estar preparadas para demonstrar à ANPD que a adoção das medidas de segurança de dados é eficaz, uma vez que uma auditoria pode ser realizada a qualquer momento.

Neste sentido, as soluções DLP são importantes para garantir a conformidade legal da empresa e proteger informações sensíveis, como dados pessoais de clientes e contratos comerciais.

Escrito por Luciana Matos