Privacidade e proteção de dados são iniciativas importantes para as organizações, principalmente com o advento da Lei Geral de Proteção de Dados (LGPD), que visa regular todas as empresas que coletam, tratam, armazenam e compartilham dados pessoais.

Não é para menos. O diretor-presidente da ANPD (Autoridade Nacional de Proteção de Dados),  Waldemar Gonçalves Ortunho Junior, declarou "A ANPD é transversal. Qualquer comércio, por menor que seja, tem uma lista de seus funcionários e principais clientes".

Ou seja, privacidade de dados não é mais uma boa prática, mas uma obrigação.

E, para tanto, se faz necessário utilizar uma metodologia, de preferência com reconhecimento internacional, para que a governança de dados seja bem feita e a segurança da informação seja garantida.

Ademais, é importante que os colaboradores recebam tempo e treinamento adequados para entender as obrigações diárias de privacidade em seus trabalhos.

Neste contexto, o ISO27001 é uma verdadeira norma de segurança global e também a única sujeita a auditoria externa. Ele permite que as organizações adotem uma abordagem uniforme para demonstrar que estão operando
processos de segurança da informação e a adoção de melhores práticas. Muitos dos benefícios do ISO27001 estão relacionados ao fato de que o processo de certificação prepara a organização o caso de acontecer uma infração de dados.

Assim sendo, o ISO27001 tornou-se um ativo comercial cada vez mais valioso à medida que os clientes buscam em sua cadeia de suprimentos garantias sobre o risco cibernético.

O esforço e o envolvimento da gestão necessários para obter a certificação ISO27001 garantem que a organização aumente a sua maturidade da segurança cibernética. Além disso, outros benefícios incluem:
» Aumento da resiliência dos negócios e proteção contra segurança falhas
» Maior confiança do cliente
» Maior confiabilidade e segurança dos sistemas centrais e ativos de informação
» Maior foco no risco e seu impacto no negócio

Mesmo que a empresa não tenha o certificado ISO 27001, é importante que o Encarregado de Dados, responsável pela governança de dados da empresa nos termos do artigo 41 da LGPD, busque evidências documentais e técnicas que dêem lastro institucional e operacional a diligências preventivas e corretivas no que se refere a uma infração de dados. Por isso, ter uma metodologia pode ajudar muito!

O fato é que a LGPD não exige que a empresa fique imune a uma infração de dados. Até porque, exigir isso, seria leviano e hipócrita. Todas as empresas estão suscetíveis e passíveis a infração de dados! O fato é que não existe empresa 100% segura.

Assim sendo, a recomendação dos especialistas é adotar uma boa governança de segurança da informação e um bom plano de resposta a incidentes, no caso de ocorrer uma infração de dados. Se preparar de forma preventiva e corretiva. Esta é a receita!