fbpx

A classificação da informação volta à mira dos gestores após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), uma vez que a nova regulamentação exige das empresas uma preocupação a mais nesse sentido, impondo sanções severas a quem não se adequar.

Muitas organizações lidam com dados de terceiros o tempo todo. Logo, o aumento na quantidade de tentativas de ataques e roubo de dados deve ser motivo de receio por parte dos gestores, que precisam buscar formas de proteger seus ativos.

Neste post, vamos falar um pouco mais sobre a relação entre a LGPD e a classificação da informação, as melhores práticas para proteger e garantir o sigilo de seus dados e a importância de investir nesse recurso. Boa leitura!

O que é a LGPD e a classificação da informação?

Rodar uma folha de pagamentos, manter uma base de endereços de e-mail, filmar e armazenar imagens de um corredor da empresa. Tudo isso pode ser considerado dados pessoais e qualquer empresa manipula essas informações o tempo todo.

A LGPD foi sancionada com o objetivo de proteger os direitos fundamentais dos cidadãos acerca da liberdade e privacidade de suas próprias informações. O regulamento dispõe como deve ser feito o tratamento de dados por pessoas jurídicas e físicas.

Ao longo de sua redação, a LGPD estipula regras para a manipulação de informações pessoais sob responsabilidade das empresas, sendo que o não cumprimento dessas definições leva a punições severas por falta de conformidade.

Além disso, a nova regulamentação também prevê a segurança dos dados pessoais que estiverem sob tutela das empresas e que, para realizar a coleta, processamento e uso dessas informações, os objetivos devem ser claros e repassados ao titular dos dados — o cidadão.

A classificação da informação e a ISO 27001

Dentro desse novo contexto de proteção de dados, temos a classificação da informação como a maneira correta pela qual as empresas podem realizar o processamento, controle, hospedagem ou compartilhamento de dados em um ciclo de vida da informação.

A ISO 27001 define que a classificação da informação é um processo focado em garantir o nível adequado de proteção de dados de acordo com a sensibilidade do dado. Como base para essa distinção, deve ser tomado o valor, a criticidade e os requisitos legais que envolvem uma informação.

O principal objetivo dessa prática é mitigar riscos de vazamentos de dados ou o chamado acesso inadequado, criando uma série de proteções extras para informações mais sensíveis, levando em consideração sua classificação.

Por meio dessa boa prática, as empresas conseguem se alinhar de maneira mais assertiva às especificações exigidas pela LGPD, cumprindo a norma com relação ao tratamento, proteção e publicação de dados pessoais e sensíveis.

Quanto melhor a organização e classificação dos dados, menor será o risco corrido pela empresa em infringir qualquer um dos dispositivos da lei.

Quais são as boas práticas da classificação da informação?

Separamos alguns passos para que você possa implantar esse modelo de organização, visando cumprir com os requisitos da LGPD.

Avaliar impactos à imagem ou operações

Uma das primeiras providências ao falarmos sobre a classificação da informação é, com certeza, avaliar a relevância do impacto que o vazamento de determinado ativo digital pode causar na empresa, sob o ponto de vista de imagem, operacional, legal e financeiro.

Com base nesses critérios, é possível determinar quais são os dados mais sensíveis sob tutela da empresa, auxiliando o gestor a priorizar o tratamento de segurança e o sigilo dessas informações, inserindo proteções — níveis de acesso, por exemplo.

Verificar a necessidade das informações

É preciso verificar a real necessidade de contar com determinado dado em sua base — ou seja, existem impactos negativos com a uso deste?

Com o advento da LGPD e uma demanda por maiores cuidados, muitas informações coletadas pelas empresas e que não são utilizadas podem ser descartadas para evitar problemas.

Por exemplo, pode ser que, durante um cadastro, uma organização exigisse o endereço do cliente. Porém, tal dado nunca foi usado, nem tem previsão de utilização. Nesse caso, só aumentamos o risco porque temos mais informações sob tutela da empresa, sendo que não há necessidade desse dado.

Atribuir pesos de acordo com a sensibilidade da informação

Por fim, na hora de classificar as informações, precisamos dividir esses dados de acordo com a sua sensibilidade e os impactos que podem gerar para a organização caso vazem ou não estejam disponíveis. Podemos atribuir três pesos diferentes:

  • restrita — usado por um grupo restrito;
  • privada — uso interno a corporação;
  • publica — pode ser divulgada externamente.

Qual é a importância de aplicar a classificação da informação?

A classificação da informação é parte fundamental da organização de uma empresa que busca cumprir com todos os requisitos exigidos pela LGPD e evitar qualquer tipo de problema com os órgãos regulatórios.

Ainda estamos no início de sua vigência, portanto, é normal que existam dúvidas e a fiscalização ainda esteja engatinhando, com pouca cobrança. Porém, em pouco tempo isso deve mudar, com uma maior atividade regulatória e a aplicação de sanções a quem não estiver adequado.

Investir na classificação da informação auxiliará sua empresa a visualizar o que realmente é importante em termos de dados dentro da organização e tudo aquilo que pode ser descartado, reduzindo os riscos de vazamentos e o descumprimento da conformidade com a nova lei.

Não pense que apenas empresas diretamente ligadas à TI estão sob a alçada da LGPD. Toda e qualquer organização que realiza a coleta e o processamento de dados pessoais de terceiros deve se adequar à nova realidade, sendo que até a manipulação dos dados de seus funcionários entra nesse quesito.

Chegamos ao fim deste post e esperamos que ele possa ter clareado algumas ideias acerca da classificação da informação, sua relação com a LGPD, sua importância e as boas práticas para alcançá-la.

Quer saber o que acontece quando há uma violação de dados? Temos um post perfeito para explicar isso!