À medida que as empresas coletam uma quantidade cada vez mais expressiva de dados de seus clientes, colaboradores e leads, maior é a preocupação das pessoas em relação à própria privacidade.

Foi pensando nessa realidade que, em 2018, a União Europeia aprovou a GDPR (sigla para General Data Protection Regulation, ou Regulação Geral de Proteção de Dados em português). Embora a UE já contasse com leis de privacidade e proteção de dados anteriores ao momento da aprovação da GDPR, a lei surgiu para unificar e reforçar medidas relacionadas à segurança dos dados da população.

No Brasil, contamos com a Lei Geral de Proteção de Dados Pessoais, a LGPD, que, após um complicado processo de aprovação marcado por várias mudanças de data, passou a valer em 2020, em plena pandemia.

A LGPD foi totalmente baseada nos preceitos da lei europeia, mas obviamente não é igual a GDPR. Considerando que a discussão sobre proteção e privacidade dos dados é recente aqui no Brasil, algumas questões referentes à nossa Lei Geral de Proteção de Dados ainda estão sendo amadurecidas.

Exemplo disso é a atuação da ANPD, a Autoridade Nacional de Proteção de Dados, que deve orientar o processo de adequação à lei, mas ainda desperta muitas dúvidas até mesmo em profissionais do setor.

Mesmo assim, considerando que as sanções e multas previstas na LGPD já estarão valendo a partir de agosto de 2021, é indispensável já iniciar a jornada de compliance na sua empresa, independentemente de porte ou setor.

Nesse sentido, há três pilares essenciais na lei: pessoas, processos e tecnologia. No post de hoje, vamos destacar principalmente o último, trazendo como a integração do Microsoft 365, a suíte de aplicativos mais completa do mercado, ao dia a dia da sua companhia pode ajudar.

Aqui, separamos o processo de compliance em três momentos, respeitando a recomendação da própria Microsoft: 30 dias, 90 dias e depois de 90 dias. Em cada etapa, destacamos quais medidas são ideais e quais ferramentas podem ajudar.

Para começar, no entanto, precisamos definir rapidamente o que são os dados pessoais.

LGPD: quais são os dados pessoais?

A existência da LGPD é baseada ao redor da noção de dados pessoais. Por isso, para entender de fato as adequações necessárias na empresa, é importante saber quais dados entram no escopo da lei.

Na prática, um dado pessoal é aquele que permite a identificação de uma pessoa – sendo o CPF, e-mail, endereço e data de nascimento alguns dos principais exemplos. Vale pontuar que existem, ainda, os dados pessoais sensíveis, que também permitem a identificação de pessoas, mas são ainda mais delicados, pois envolvem questões como religião, posicionamento político, etnia, histórico de saúde e mais.

Dada a seriedade do assunto, é irresponsável encarar a LGPD de forma leviana – e entendê-la é o primeiro passo.

+ E-book gratuito: Lei Geral de Proteção de Dados

Como se adequar à LGPD

30 dias: ações rápidas e de baixo impacto

As primeiras ações em direção à adequação devem ser inicialmente baseadas em entender o que é a Lei Geral de Proteção de Dados e, assim, avaliar em que passo está a sua empresa.

Nesse momento, é importante contar com uma empresa parceira da Microsoft – e qualificada em LGPD – para auxiliar na avaliação, já que seus profissionais saberão qual é o padrão de referência a ser respeitado e, com o suporte do Centro de Conformidade do Microsoft 365, poderão traçar uma jornada de compliance específica à realidade da sua organização.

Logo no começo do processo também já é indispensável investigar quais dados pessoais a companhia está armazenando – e onde eles estão. Essa pesquisa deve ser feita de forma extensiva e detalhada, a fim de cobrir todas as lacunas e possibilidades. Aqui, estamos nos referindo às caixas de e-mail, pastas públicas, sites do SharePoint Online e OneDrive for Business, Microsoft Teams e até Grupos do Microsoft 365.

No entanto, sabemos que essa pesquisa não é das mais fáceis e, por isso, o apoio de uma empresa parceira tem sua importância reforçada nesse momento.

Ferramentas que podem ajudar: Ferramenta de Avaliação de GDPR, Centro de Conformidade do Microsoft 365, Pesquisa de Conteúdo, Descoberta Eletrônica Avançada (Advanced eDiscovery, em inglês).

+ Leia mais: 7 vantagens de escolher o Microsoft 365

90 dias: ações planejadas e mais demoradas, mas essenciais

Passado o momento inicial de descoberta e compreensão da LGPD, é hora de dar mais um passo na jornada de adequação e partir para ações mais robustas, planejadas e, assim, um pouco mais longas.

Aqui, as ferramentas do Microsoft 365 têm um impacto ainda mais significativo no processo e facilitam consideravelmente o seu andamento.

Em primeiro lugar, é hora de implementar de fato os requisitos de compliance. Nessa etapa é importante instruir os seus colaboradores a identificar e classificar os dados pessoais que mencionamos no começo do texto.

Isso pode ser feito por meio de um esquema de classificação e rótulos associados para os e-mails, sites de intranet e OneDrive for Business e os Grupos do Microsoft 365 – os mesmos aplicativos que destacamos na seção anterior.

Em seguida, é hora de evitar violações de dados e implantar processos de segurança no dia a dia. Os usuários do Microsoft 365 têm uma enorme vantagem nesse sentido, já que a nuvem de produtividade contém diversos recursos para encaminhar esse processo de adequação à LGPD de forma simples e inteligente.

É possível, por exemplo…

1. Habilitar a autenticação multifator (MFA), reforçar políticas de identidade que ajudam a definir exatamente quem deve acessar quais dados e implementar recursos que monitoram (e bloqueiam) atividades maliciosas;
2. Configurar políticas de prevenção contra a perda de dados para monitorar e proteger dados pessoais e confidenciais em documentos e e-mails;
3. Implementar o Microsoft Defender e bloquear os ataques cibernéticos mais comuns, principalmente e-mails de phishing e compartilhamento de documentos contendo links prejudiciais.

Ferramentas que podem ajudar: Gerenciador de Conformidade da Microsoft, Proteção de Informações do Microsoft 365 para GDPR e Proteção Avançada contra Ameaças do Microsoft Defender.

Depois de 90 dias: proteção contínua e gestão de dados

Tomadas as principais decisões e implementadas as configurações iniciais de conformidade à LGPD, sua empresa deve estar preparada para gerir os dados e protegê-los de maneira contínua.

Na prática, isso implica na aplicação automática de rótulos em dados pessoais presentes em documentos e e-mails, implementação de políticas de acesso condicional via Microsoft Intune e configurar princípios de retenção de dados – afinal, é importante definir por quanto tempo as informações serão armazenadas pela sua empresa.

Esse último item deve, inclusive, estar presente na sua Política de Privacidade e em eventuais contratos que impliquem na coleta de dados pessoais.

Considerando a quantidade cada vez mais expressiva de dados que transitam pelas empresas diariamente, é importante monitorar continuamente o status de conformidade da sua organização.

Para tal, você pode utilizar as Políticas de Alertas do Microsoft 365, receber relatórios de prevenção de perda de dados e ativar notificações avançadas e personalizadas de acordo com as atividades dos usuários.

Sendo uma empresa internacional, a Microsoft permite que você atenda aos requisitos de segurança da LGPD por meio de políticas e ferramentas constantemente aprimoradas.

Ferramentas que podem ajudar: Gestão de Dados Avançada do Microsoft 365, Microsoft Intune, Governança Avançada de Dados, Rótulos do Microsoft 365, Políticas de Alertas do Microsoft 365, Microsoft Cloud App Security.

+ E-book gratuito: LGPD – Tudo o que você precisa saber sobre a nova lei!

Vamos iniciar a adequação?

Aqui na Lattine Group somos Microsoft Gold Partners e contamos com uma equipe preparada para conduzir o seu processo de adequação com o apoio das melhores ferramentas disponíveis no mercado!

Inicie a sua adequação à LGPD conosco! Solicite um contato especializado e evite multas.