Serviços de computação em nuvem e proteção de dados: Como ficar em compliance com a LGPD
Quando falamos no uso de serviços de computação em nuvem, em especial aquelas que são públicas — ou seja, não ficam disponíveis por meio de um servidor privado da organização —, um questionamento se torna muito comum: como cuidar da proteção de dados e se manter em compliance com a LGPD?
A nuvem é um ambiente totalmente online onde ficam armazenados todo e qualquer tipo de arquivo que a sua empresa desejar. Entre eles, podem estar também dados coletados em ações de comunicação e marketing que pertencem aos seus clientes. É neste ponto que os serviços de computação em nuvem e a proteção de dados, por meio da LGPD, se cruzam.
O caminho não é mais passível de retorno, uma vez que a legislação já entrou em vigor no Brasil, então todas as empresas que coletam e tratam dados pessoais de seus clientes devem adequar seus processos. Para isso, será fundamental capacitar toda a sua equipe para nivelar o entendimento da importância do cumprimento da lei, e das ações práticas que precisam e podem ser realizadas neste sentido.
Neste artigo trazemos um aprofundamento sobre o que é a computação em nuvem e a LGPD, e algumas recomendações principais para que a sua empresa possa estar tranquila quanto à conexão entre elas. Aproveite a leitura!
O que é a LGPD e como se aplica a sua empresa
Conforme já mencionado anteriormente, a LGPD se aplica a toda e qualquer empresa que faça coleta, tratamento e uso de dados pessoais de seus clientes, fornecedores e demais stakeholders dentro de qualquer de seus processos internos.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) determina que as empresas são obrigadas a obter permissão ativa dos consumidores para utilizar seus dados pessoais. Além do consentimento, é responsabilidade da empresa deixar explícitas as finalidades com as quais cada tipo de dado coletado será utilizado e ao longo de quanto tempo, de modo que o consumidor esteja ciente e de acordo ao ceder suas informações.
Outros pontos importantes da lei que não podem ser deixados de lado pela sua empresa: o consumidor pode solicitar a remoção, alteração, atualização ou portabilidade de seus dados da base da empresa a qualquer momento, e isso deve sempre ser atendido de imediato. Os dados são dos consumidores, motivo pelo qual devem ter acesso irrestrito sempre que solicitado. A segurança dos dados é a grande prioridade da criação da LGPD.
Existem alguns conceitos que são fundamentais para a compreensão da LGPD, tais como:
- dados pessoais: são informações que permitem a identificação de uma pessoa, ou seja, nome completo, CPF, data de nascimento etc.;
- tratamento de dados: é toda e qualquer ação realizada pela empresa com os dados coletados, como cadastro em uma base, envio de e-mails, criação de lista de contatos;
- controlador de dados: este é um papel criado pela LGPD que se refere à pessoa ou empresa que toma decisões relacionadas ao tratamento dos dados coletados;
- e o operador de dados: aqui é quem de fato realiza o tratamento das informações em nome do controlador.
Compreender estes conceitos e transportá-los para dentro da realidade da sua empresa é fundamental para um processo tranquilo de adequação à LGPD. Vamos ver agora como isso conversa com os serviços de computação em nuvem.
Como a computação em nuvem se relaciona com a LGPD
Para sustentar todo o processo de adequação das empresas à LGPD quem está por trás é normalmente o setor de TI. Isso porque deverão ser criados processos, etapas de verificação das informações e uma infraestrutura segura para a realização das operações, de modo que são todas ações previstas no escopo da TI. Implantar e manter essa estrutura rodando será fundamental para a adequação da sua empresa.
Partindo então para a conexão entre os serviços de computação em nuvem e a LGPD, vale destacar que a nuvem tem como principal vantagem a capacidade de armazenamento e fácil acesso a informações e dados. Isso acende um sinal de alerta, levando em conta todas as exigências e determinações da LGPD, e pensando sobre até que ponto esses dados podem ou não estar assim tão acessíveis.
Vamos lá, neste caso, é fundamental compreender que as empresas que utilizam e disponibilizam serviços de computação em nuvem precisam contar com as regras da LGPD dentro da sua tecnologia. Isso será primordial para que elas possam, em uma primeira instância, manter a sua operação.
Indo mais a fundo, a partir do momento que um serviço de computação em nuvem opera totalmente em compliance com a LGPD — atentando-se ao consentimento para a coleta de dados e todos os procedimentos que já explicamos anteriormente —, ela está automaticamente apta e segura para disponibilizar os dados a quem está previamente autorizado a isso e da forma com a qual o consumidor concordou.
Além destes pontos, a computação em nuvem é um sistema que normalmente conta com soluções avançadas de segurança, naturalmente já mais protegidas contra ciberataques, e também seguras diante da LGPD. Existem diferentes provedores, com níveis e tecnologias mais ou menos avançadas, e é fundamental contar com uma solução que atenda aos critérios que a sua empresa precisa para adequar a sua computação em nuvem à LGPD.
Como este não é um processo tão simples, e exige a implementação de algumas etapas, continue acompanhando este artigo e confira algumas recomendações para adequar à sua solução de computação em nuvem à LGPD.
Recomendações de adequação: computação em nuvem e LGPD
Como mencionado anteriormente, a escolha do provedor dos seus serviços de computação em nuvem deve passar por um rigoroso crivo até que se identifique que as exigências são atendidas.
Um desses critérios é a criptografia, ou seja, a sua empresa deve sempre optar por provedores que trabalhem com camadas de segurança dos dados que somente oferecem acesso criptografado por meio de códigos de segurança. Vamos agora às principais recomendações:
- a sua empresa, ao utilizar plataformas de computação em nuvem, deve ter total conhecimento dos dados com que trabalha por meio de um mapeamento;
- a sua solução de computação em nuvem pode ser uma aliada da LGPD ao permitir que seja feito um monitoramento constante dos dados tratados para identificar se os processos estão respeitando a lei, além de facilitar o gerenciamento de risco e a notificação de incidentes;
- mesmo contando com a capacidade grande de armazenamento de dados oferecida pela computação em nuvem, é uma boa prática pensando na adequação à LGPD que seja feito sempre um controle de backups, mantendo versões de determinados arquivos ou dados em locais distintos para evitar danos em casos de ataques ou perdas;
- mantenha o controle do acesso aos dados coletados de forma rigorosa também internamente na empresa, uma vez que você não tem garantia de que todos os funcionários terão a índole que se espera e não poderão ferir o princípio de sigilo dos dados e até mesmo colocar a sua operação ou a segurança dos dados com os quais você trabalha em risco.
Lembrete final: Se você trabalha ou pretende investir em um serviço de nuvem pública, como é o caso das plataformas SaaS, é preciso ter cuidados redobrados com a questão dos backups. Este é o maior ponto de atenção relacionados à LGPD no que diz respeito a este tipo de nuvem.
Para saber mais e capacitar a sua equipe para a adequação a LGPD, confira o calendário de cursos da ESR e entre em contato para tirar suas dúvidas! Será um prazer lhe ajudar.