.png)
Fala pessoal, tudo bem?
Hoje irei falar um pouco sobre a LGPD, você já deve ter ouvido nos últimos meses sobre o assunto.
Mas afinal, o que é a LGPD (Lei geral de proteção de dados)? No que isso afeta a nossa rotina na area de TI?
Sancionada em agosto de 2018, entrará em vigor em Agosto de 2020. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
"Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais.
A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que,
de forma geral, regulamentam o uso de dados no país hoje.
Como principal influência para a criação e maturação da LGPD, existe a GDPR (General Data Protection Regulation),
que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação
recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições
semelhantes ou reforçarem políticas pré-existentes.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável,
e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação,
utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
O titular: é a pessoa física a quem se referem os dados pessoais.
O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados."
Toda mudança sempre causa impacto, essa lei tem nos mostrado que muitos processos precisarão passar por alterações.
O TI das empresas não será inteiramente responsável pelas medidas de proteção das informações, esse é um pensamento que precisa ser entendido. Mas, é claro que muitas ações partirão do departamento de TI, passando por infraestrutura, desenvolvimento dos softwares e obviamente por quem administra o banco de dados da empresa.
Na pratica, o papel do DBA será criar mecanismos (e nisso o SQL Server esta bem avançado e oferece diversas features para "cobrir" cada ponto)para evitar o acesso aos dados por pessoas indevidas.
Pensando nisso, destaco alguns pontos abaixo que identifico como mais relevantes para iniciar o processo de adequação à lei(na visão de DBA):
- Mapear acessos ao banco
- Deixar as permissões no nível mais granular possível
- Utilizar as versões mais recentes possíveis do SQL Server (que te dão features mais novas e mais completas na versão Standard - mais em conta que a Enterprise)
- Configurar criptografia de conexão (SSL), irá demandar alteração na string de conexão da aplicação
- Criar classificação de dados sensíveis no banco
- Configurar criptografia dos dados (armazenados e em uso)
- Gerar backups criptografados se possível (ter regulamentação interna para disponibilização dos mesmos)
- Manter template do banco com dados "não reais" para desenvolvimento e QA
- Habilitar auditoria do banco (de acordo com o ambiente/recurso de hardware)
Como pode-se observar a lista de atividades não é pequena, lembrando que muita coisa ainda será definida nos próximos meses. O prazo para adequação ja esta curto, e como vemos não se trata de um processo simples.
Fiquem atentos!
Gostou desse post, tem alguma dúvida ou sugestão? Deixe um comentário logo abaixo.
Até a próxima!
Comentários