Com o vigor da Lei Geral de Proteção de Dados, a LGPD, a preocupação das empresas com o tratamento de dados pessoais tem crescido. Contudo, para adequar-se à nova lei é preciso estar atento à classificação de dados.
Uma vez que a lei atribui a responsabilidade pela proteção dos dados pessoais ao controlador dos dados — a empresa —, bem como a definição clara dos objetivos para seu uso, a classificação de dados faz-se essencial.
O que é classificação de dados?
A classificação de dados é definida pela norma ISO 27001 como um processo que tem como objetivo garantir o nível adequado de proteção aos dados tratados.
Ou seja, a classificação é uma estratégia que prioriza a segurança de forma proporcional ao nível que demanda cada dado. Essa estratégia tem como fim a mitigação de vazamentos ou violação de dados de qualquer gênero.
Em síntese, as empresas controladoras dos dados precisam entender quais informações detêm, como são armazenadas e como devem lidar com elas.
Desse modo, elas passam a saber qual é o nível de segurança ideal a ser aplicado em cada dado pessoal e quem pode acessá-los, otimizando, assim, seus recursos.
Isso porque é preciso que a empresa seja criteriosa quanto à proteção dos dados pessoais, de forma que saiba o que está protegendo.
Com isso, seus esforços estarão direcionados para os dados de mais valor para a empresa, reduzindo riscos e diminuindo o tempo de resposta em caso de brechas de segurança.
A maneira de entender e aplicar essa estratégia, portanto, é feita por meio da classificação das informações.
A classificação da informação deve ter como base o valor, a criticidade e os requisitos legais que envolvem tais dados. De tal modo, deve-se observar:
- relevância do impacto: isto é, a importância do dado para a empresa sob os pontos de vista de imagem, financeiro, operacional e legal, em caso de sequestro, violação, manipulação, divulgação ou destruição da informação. Assim é possível priorizar a informação em termos de impacto, categorizando-a em níveis de segurança e sigilo;
- relevância do nível do conteúdo dos dados: diz respeito aos níveis de acesso para divulgação e manipulação dos dados, divididos em estratégico, tático e operacional.
Por que a classificação da informação é essencial para o cumprimento da LGPD?
A LGPD, sigla para Lei Geral de Proteção de Dados, é a legislação brasileira para a proteção e privacidade dos dados pessoais. Ela foi inspirada no GDPR, ou General Data Protection Regulation, a legislação europeia.
A lei brasileira foi publicada em 2018, com o objetivo de proteger os direitos fundamentais dos cidadãos brasileiros no tocante à liberdade e privacidade dos seus dados pessoais.
De tal forma, a lei dispõe de diretrizes que regulamentam o tratamento de dados pessoais pelas empresas de direito público ou privado.
Com isso, a legislação visa garantir ao titular maior controle sobre suas informações, assim como fornecer a proteção da sua privacidade.
Além disso, determinando regras para a manipulação dos dados pelas empresas, como a autorização prévia do titular para o tratamento, a lei ainda impede que tais organizações cometam algum tipo de abuso ao manipular esses dados pessoais.
Nesse caso, as empresas controladoras são totalmente responsabilizadas pela proteção dos dados pessoais dos quais realiza tratamento, devendo lidar, também, com as consequências provenientes de possíveis violações das informações.
Assim como ocorre com qualquer lei, existem penalidades para aqueles que descumprirem a LGPD.
De acordo com a gravidade de cada infração, as sanções podem incluir multas e até mesmo o impedimento parcial ou integral da realização das atividades de tratamento de dados pessoais pela empresa.
Nesse contexto, a classificação dos dados é fundamental para que a empresa esteja alinhada às diretrizes da LGPD. Pois, quanto melhor a empresa organizar e classificar esses dados pessoais, menor será o risco de infração de qualquer um dos dispositivos da lei.
Como deve ser feita essa classificação?
Para aplicar a estratégia de classificação de dados e estar alinhado às diretrizes da LGPD é preciso levar em consideração os seguintes passos.
- Avaliação de impactos à imagem e operações
- Verificação da necessidade das informações
- Atribuição de pesos
Avaliação de impactos à imagem e operações
A avaliação de impactos à imagem e operações, como já pincelamos anteriormente, diz respeito à identificação da relevância de cada dado pessoal em caso de sequestro, violação, manipulação, divulgação ou destruição da informação.
Essa relevância deve ser observado sob o ponto de vista de imagem, financeiro, operacional e legal.
Em síntese, a pergunta a se fazer aqui é: o quanto minha organização será impactada em caso de uma possível violação sob os pontos de vistas citados?
Dessa maneira, é possível classificar os dados pessoais de acordo com seu impacto à imagem e operações, determinando quais sãos os dados mais sensíveis que a empresa detém.
Com isso, o gestor pode realizar um gerenciamento de riscos, priorizando a segurança e sigilo desses dados.
Verificação da necessidade das informações
O segundo passo para a classificação de dados LGPD é a verificação da necessidade das informações.
O princípio de necessidade é um dos principais descritos no texto da LGPD. Esse princípio estipula que a coleta de dados pessoais deve se dar de maneira restritiva.
Ou seja, deve-se prezar pelo tratamento de dados pessoais que são estritamente necessários para o atendimento do objetivo final pretendido pela empresa. Desse modo, a empresa evita a coleta excessiva.
Seguindo esse princípio, a empresa deve verificar a real necessidade de determinados dados em seu banco. Desse modo, além de cumprir as diretrizes da lei, a empresa ainda investiga se há impactos negativos no uso de um dado.
Portanto, deve haver uma análise de quais dados pessoais a empresa realmente necessita e quais dados pessoais nunca sequer foram utilizados.
Assim, é possível fazer o descarte adequado daquela informação, diminuindo a quantidade de dados sob a tutela da empresa e, consequentemente, diminuindo os riscos de descumprimento da lei.
Atribuição de pesos
Para finalizar, a classificação das informações deve considerar os três pilares da segurança da informação: confidencialidade, integridade e disponibilidade.
Assim, é preciso realizar os seguintes questionamentos:
- qual impacto o acesso livre a um determinado dado causa à imagem ou operações vitais da empresa?
- que impacto teria a indisponibilidade desse dado?
- qual o impacto da alteração deliberada ou acidental desse dado?
A resposta para essas perguntas atribuirá pesos a esses dados, sendo de alto, médio ou baixo impacto. Esses pesos definirão se seus dados são:
- restritos: dados acessíveis apenas para pessoas selecionadas;
- confidenciais: dados acessíveis apenas para um grupo autorizado; e
- públicos: dados acessíveis a qualquer pessoa.
Se um dado apresenta baixo impacto nos três princípios analisados nos questionamentos, deve ser considerado público. Se apresenta alto impacto nos três princípios deve ser considerado alto.
Mas, se apresentar níveis de impacto diferentes, provavelmente é um dado restrito.
Como implementar uma política de classificação dos dados?
A implementação de uma política de classificação de dados e informações demanda um esforço conjunto dos gestores de cada área da empresa.
Isso porque aqueles que melhor sabem sobre o nível de criticidade de uma informação são aqueles que lidam diretamente com ela. Trata-se do dono do risco.
Isso significa dizer que uma política de privacidade, segurança e classificação de dados não é uma preocupação apenas da área de Tecnologia da Informação dentro de uma empresa.
Essa preocupação deve ser de todos os colaboradores que lidam com esse dados, o que exige uma mudança de pensamento e hábitos de toda a empresa.
Somente assim uma organização estará pronta para realizar o tratamento de dados pessoais com segurança, seguindo todas as diretrizes da LGPD.
Podemos dividir a implementação de uma política de classificação nas etapas descritas a seguir.
- Realização de inventário: listagem das informações que são produzidas pela empresa;
- Classificação: definição dos níveis de confidencialidade das informações;
- Política de proteção: diferenciação dos recursos utilizados para a proteção dos dados conforme seu nível de confidencialidade;
- Mudança de pensamento e hábito: conscientização dos colaboradores quanto aos riscos relacionados ao mau uso ou à violação dos dados pessoais. Também inclui a identificação de hábitos que devem ser mudados.
Quais são os benefícios da classificação de dados?
Como vimos, a classificação das informações dentro de uma organização é fundamental para sua adequação à LGPD.
Com o tempo, a fiscalização passará a ser cada vez mais rígida e sanções e multas serão aplicadas às organizações que não estiverem devidamente adequadas à lei.
Assim, firma-se a necessidade de iniciar as adequações o quanto antes, implementando a classificação de dados pessoais como estratégia fundamental.
Isso porque é essa estratégia que auxiliará na identificação de riscos em termos de tratamento de dados pessoais dentro da empresa, acelerando a implementação das diretrizes da lei.
Portanto, o maior benefício para empresa que investe na classificação de dados é a diminuição dos riscos de vazamentos de dados pessoais e do descumprimento da LGPD, prevenindo-se de possíveis multas e sanções.