Pensar em proteção de dados ou segurança cibernética muitas vezes remete nossos pensamentos ao mercado financeiro, ou setor bancário. Esse tipo de pensamento não é à toa, afinal membros desse segmento lidam diretamente com o patrimônio de cada pessoa e com dados/informações de altíssimo valor econômico e social.
Em decorrência das exigências que o segmento possui, talvez um dos mais legislados do país, o setor financeiro já ocupa a vanguarda da proteção tecnológica, possuindo diversos processos e leis especificando a manutenção do sigilo do controle das informações e do fornecimento de segurança aos seus clientes. Além disso, não é novidade para o setor a existência de leis que cobrem grande segurança, padrões de proteção da informação e processo que busca em categorizar o tipo de informação em sua posse. Podemos colocar como exemplo a lei de sigilo da informação, Lei Complementar nº 105 de 2001, lei de Lavagem de Dinheiro, o Marco Civil da Internet, Lei de Crimes Contra o Sistema Financeiro Nacional, dentre outras.
Levando em conta que o setor já está acostumado em lidar com exigências legais e mercadológicas de proteção, a LGPD mesmo sendo algo que irá impactar o setor não será uma grande novidade para os processos internos da empresa e em muitos casos irá demandar algumas ajustes finos na realidade da organização.
Pensando nisso, o BACEN emitiu a Resolução 4.658/18 que trata de políticas de segurança cibernética, processos de segurança da informação, requisitos para a contratação de parceiros fornecedores tecnologias. É possível realizar a correlação entre essa resolução e a LGPD, mesmo ela não possuindo dispositivos diretos focados para o setor. Ambas tratam de segurança da informação, desenvolvimento de processos para a garantia da segurança do ambiente tecnológico, o desenvolvimento de processos de gestão interna e o desenvolvimento de um plano de ação e resposta a incidentes.
A observância dessas duas novas normas, além da reinterpretação de outros regramentos com base na LGPD, será necessário que o setor repense como irá atuar diante do novo consumidor que surgirá, tendo em vista os novos direitos que terão além da dissociação entre proteção de dados, confidencialidade e o sigilo.
Assim, o setor financeiro precisará se preparar para essa interação operacional, resguardando que processos, controles internos, gestão de riscos, mecanismos de proteção e o compliance estarão em perfeita sinergia e em comunicação com a nova realidade digital.
Mas qual seria o caminho das pedras? Ou até mesmo por onde as empresas desse setor devem começar?
Aconselhamos que seja formada uma equipe para o projeto multidisciplinar composta por membros do setor jurídico, setor de tecnologia, segurança e compliance. Esse time deverá se reportar diretamente à diretoria e iniciar o projeto avaliando o status que a organização se encontra em matéria de proteção de dados, avaliando onde se localizam os dados pessoais em sua posse, como sistemas, servidores, bases de dados, arquivos físicos e assim por diante. Em seguida, é necessário identificar e categorizar os dados, como dados pessoais, dados pessoais sensíveis, dados de menores etc., criando um sistema de inventário para a manutenção dessas informações. Uma estratégia interessante é a criação de uma base única de informações que pode facilitar a gestão dos dados para facilitar o mapeamento, dando uma visão macro de todo o pool de dados que podem ser utilizados e onde estão sendo utilizados.
Outra necessidade é a criação de sistema de gestão da privacidade, identificando os processos de sua empresa que necessitam do uso de dados pessoais, a vinculação dessas atividades com alguma das bases legais indicadas na LGPD, os riscos e impactos potenciais que podem estar envolvidos com aqueles dados, as formas de proteção empregadas e outras informações organizacionais. Além disso, dentro desse sistema deve ser indicando aos titulares de dados os seus direitos, um canal de comunicação com o DPO ou Encarregado de Dados e a política de privacidade empregada pela organização.
Infelizmente não existe uma “receita de bolo” ou uma “bala de prata” que irá solucionar todos os desafios, por isso recomendamos que sua empresa desenvolva a gestão de parceiros, mobilizando diversas ferramentas que ao serem compiladas e aplicadas a cada uma de suas necessidades gerarão uma estrutura coesa para a proteção de dados.