Por Davi Netto em 02-10-2021
O primeiro passo para garantir a conformidade a leis de proteção de dados e segurança da informação em sua empresa é a identificação da legislação aplicável ao negócios e operações da empresa. A legislação aplicável abrange não somente a relação da empresa com seus consumidores, mas também toda a estruturação de seu negócio, podendo incluir fornecedores, parceiros, estrutura física e organizacional, sistemas de informação e processos internos.
Podemos derivar da ISO-27001, alguns passos para a efetiva identificação das leis que abrangem suas operações da empresa.
1. Defina responsabilidades ao nível do indivíduo
Responsabilidades nunca devem ser atribuídas ao grupo. Divida sua empresa em segmentos e identifique pessoas-chave para a identificação de leis e normas de segurança da informação para cada área do negócio.
Muitas vezes essas responsabilidades são erroneamente atribuídas a equipe de TI, porém raramente o setor de TI possui a capacitação necessária para a identificação e interpretação de textos jurídicos que regem as operações do negócio. A identificação de legislações é um trabalho multidisciplinar que envolvem a equipe jurídica da empresa, e em muitos casos, quando essas capacidades não são encontradas internamente, podem ser delegadas para escritórios de advogados ou empresas de tecnologia especializados em segurança da informação.
2. Encontre soluções aplicáveis para sua linha de negócio
As regulamentações variam de acordo com a área de atuação e operações de cada empresa. As legislações de hospitais, do comércio eletrônico e da construção civil são totalmente diferentes, podendo inclusive haver variações e detalhamento para cada uma dessas áreas.
A venda online de bebidas alcoólicas ou medicamentos, por exemplo, algumas restrições são aplicáveis e precauções adicionais precisam ser tomadas para aqueles que atuam neste mercado.
O mesmo é válido para hospitais e clínicas que lidam diretamente com bases de dados que contém informações consideradas sensíveis pela LGPD, como o prontuário médico e condição de saúde de seus pacientes.
3. Fique atento às regionalidades e legislações internacionais.
Todos sabemos da complexidade e diversidade de leis existente dentro do território nacional. A aplicação de leis é diferente de estado para estado e as vezes até mesmo dentro de município, e isso não é uma novidade.
Entretanto, com os avanços recentes das regulamentações relacionadas a proteção de dados e segurança da informação, precisamos também ter atenção aos regulamentos internacionais nesse tópico.
“Mas minha empresa está no Brasil, então não preciso me preocupar com leis do exterior”
Precisa sim, meu caro empresário. Imagine o seguinte exemplo:
Um turista argentino, ao passear pela França faz uma compra online de medicamentos de uma empresa canadense, solicitando a entrega da mercadoria em no hotel de Paris que ele está se hospedando.
A empresa canadense está sujeita às normas da GDPR (General Data Protection Regulation) uma vez que suas operações possam se estender ao território dos países pertencentes a Área Econômica Europeia, e o cidadão argentino possui uma série de direitos de proteção de seus dados pessoais conforme a GDPR dita.
Abaixo, cito alguns exemplos de regulamentações nacionais e internacionais que podem afetar seu negócio:
- General Data Protection Regulation (GDPR)
- LGPD (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018).
- LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012. (Lei Carolina Dieckmann)
- Payment Card Industry 3.2 (PCI)
- California Consumer Privacy Act (CCPA)
- DFARS (Defense Federal Acquisition Regulation Supplement)
- HIPAA
- FedRAMP
- Acordo da Basileia II
- Sarbanes-Oxley
- Legislação de Direitos Autoraia (LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.)
- Australian Protective Security Policy Framework (PSPF)