No início do mês, a Comissão Mista aprovou o relatório sobre a Medida Provisória 869/2018, que cria, como órgão público federal, a Autoridade Nacional de Proteção de Dados (ANPD). O Ofício do Presidente do Congresso encaminhando a matéria para apreciação pela Câmara já foi lido e será encaminhado para deliberação naquela casa. Posteriormente, a matéria subirá ao Senado para ser votada e, finalmente, encaminhada à sanção presidencial.
Ulysses Alves de Levy Machado, coordenador-geral de Segurança da Informação do SERPRO, participou de duas audiências públicas em todo esse processo, uma antes da aprovação do texto da Lei e outra no mês passado, quando da discussão sobre as mudanças formuladas pela MP 869. Ele acredita que o texto aprovado dialoga com a comunidade de Segurança da Informação e que as pessoas serão as principais responsáveis por fazer com que as coisas caminhem como desejado.
Em entrevista à Security Report, ele destaca como a ANPD pode atuar daqui pra frente e lista as melhores práticas para empresas brasileiras entrarem na pauta da Lei Geral de Proteção de Dados.
Security Report: Você acredita que as ações realizadas no Congresso nesses últimos meses atendem às necessidades da comunidade brasileira de Segurança da Informação?
Ulysses Machado: Sim, entendo que a maior parte do parecer emitido pelo Relator dialoga com a vontade da comunidade que integrou o debate sobre a implementação da LGPD. Mesmo que haja queixas de setores mais protetivos que entendem pela necessidade de haver maior rigor e maior proximidade ao nível de proteção praticado pelo modelo europeu do GDPR. De qualquer forma, entendo que o texto endossado pelo Relator atinge um bom nível de consenso.
SR: A Autoridade Nacional de Proteção de Dados já nasce com poder para exercer a função pela qual foi destinada?
UM: As principais discussões giraram em torno de alterações que foram consideradas um “retrocesso” da Medida Provisória. Supressões que, segundo alguns, teriam “desempoderado” a ANPD ou que abordariam indevidamente aspectos de segurança pública.
Entendo que isso não ocorreu e que a Autoridade, apesar de nascer como um órgão e não como uma Agência, como temos na perspectiva de hoje, não nascerá desprovida de poder. Ao contrário, entendo que atuará com poder e razoável autonomia, para que, como propõe o próprio Relator, em um segundo momento, se transforme em uma Agência.
SR: A criação da Autoridade vai fazer, de fato, a Lei funcionar bem no Brasil?
UM: Na minha opinião, quem fará a Proteção de Dados & Privacidade (PD&D) funcionar seremos nós, súditos da Lei, a exemplo do que ocorreu com o Código de Defesa do Consumidor. A autoridade é uma ferramenta importante e os controladores e operadores têm um papel fundamental no sucesso do adequado tratamento. Mas quem fará com que as coisas caminhem como desejado, no novo paradigma, com proteção de dados e adequado fluxo informacional, seremos nós, mesmos. As pessoas naturais.
SR: Empresas e pessoas estão preparadas para tratar devidamente esse assunto? Quais são os principais desafios?
UM: O principal desafio é superar a barreira da dificuldade no tratamento de risco, pela forma condizente com as melhores práticas e se adequar a procedimentos como análise de impacto no negócio, na privacidade, plano de continuidade, adequado disaster recovery, implementação de equipes de resposta a incidentes, entre outras demandas.
É preciso, ademais, fazer um exaustivo trabalho de levantamento de dados em cada uma das organizações do sistema, identificando origem, coleta, titularidade, controles, identificação de fluxo de dados e todo esse conjunto de autoconhecimento e conformidade, especialmente na implementação de adequadas governanças (corporativa, de Segurança da Informação, de TI, de privacidade, de dados, etc), antes da implementação.
SR: Quais tecnologias você destacaria para esse processo?
UM: O que precisa ser feito é estabelecer o adequado uso sistematizado das ferramentas que já existem no mercado e nas organizações. Não existe uma “ferramenta de LGPD” ou um “sistema computadorizado de GDPR”.
Vejo boas perspectivas na implantação integrada de diversas soluções já existentes, em prol do resultado (ferramentas de risco, de conformidade, de identificação de dados, de correlação de eventos, firewalls de aplicação, etc).
SR: Falando em melhores práticas, por onde os profissionais podem começar essa jornada de conformidade?
UM: Começaria por um rigoroso levantamento documentado dos dados e do fluxo dessas informações. Além de:
· Elaborar um programa de privacidade englobante de toda a organização;
· Designar um Encarregado;
· Criar uma política de proteção de dados e privacidade, além da privacidade externa;
· Produzir treinamento do quadro funcional, inclusive dos agentes que não tratam dados pessoais;
· Desenvolver uma estratégia de comunicação interna e externa completa, incluindo o titular e com órgãos externos: ANPD e Ministério Público;
· Incorporar a análise de riscos e de impacto no quotidiano da organização;
· Seguir um modelo de DPIA específico para atender à demanda da ANPD;
· Automatizar esses processos de forma convencionada na organização.
E o mais importante é o envolvimento do alto nível da organização. Se ele não compreender a importância e gravidade dessa mudança de paradigma, ninguém na organização compreenderá. O gestor só acordará da letargia com a aplicação da primeira sanção pela autoridade constituída.
