O desafio da privacidade em sistemas legados

Uma coisa é afirmar que sua empresa está em conformidade com as regras de privacidade, mas outra é realmente estar em conformidade com todos os requisitosEsse é um grande desafio em sistemas legados de TI. E também é um problema, pois os sistemas legados também precisam estar de acordo com as regras de privacidade e segurança de dados da Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020. Portanto, todos os documentos e dados pessoais em poder da empresa representam um sério risco, que só tende a crescer. 

A conformidade com regras de privacidade pressupõe que as informações pessoais estão em silos distintos e gerenciáveis, e que esses silos também podem ser gerenciados com base na jurisdição vigente, no tipo de dados, e mesmo quando esses dados relativos a uma determinada pessoa possa ser identificados, sejam segregados e administrados de maneira única. E, claro, é possível aplicar algumas regras para segmentar essas informações. 

Apesar disso, os sistemas legados não foram projetados para atender a esse tipo de conformidade, simplesmente porque a estruturação e entrada de dados foram feitas de uma forma que não contemplava esse cenário, de modo que os dados são irremediavelmente misturados, mal identificados e mal organizados para o gerenciamento de privacidade. E isso se torna ainda mais problemático quando se está lidando com um ambiente de TI que pode conter centenas ou milhares de sistemas legados, pois pode não haver conhecimento sobre quais dados estão em quais sistemas ou faltam informações sobre como esses dados são estruturados e segregados e quais metadados e outras características eles podem ter. O resultado é que a empresa não está nem perto de ser compatível com a privacidade e não tem uma estratégia real para se tornar compatível em seu ambiente de TI legado. 

Felizmente, é possível remediar essa situação, mesmo que parcialmente – e parcial é muito melhor que nada. Então por onde começar? 

Avalie os silos de informação
Para começar é necessário um inventário de seus ativos de TI – sistemas e repositórios que contem com informações pessoais e quais os tipos de informações estão em cada um deles. Isso pode ser um desafio, empresas maiores e descentralizadas, muitas vezes, não têm conhecimento de como seus sistemas realmente funcionam. Então, no mínimo, é preciso ter uma lista dos sistemas e o que pode estar armazenado neles. 

A próxima etapa é priorizar. Enquanto alguns sistemas trazem grandes quantidades de dados pessoais, outros nem tanto. E nem todos os dados pessoais são criados da mesma forma – informações financeiras e médicas representam um risco maior para a empresa no caso de uma violação de dados do que outros tipos de informações. Direcionar recursos de forma inteligente, para os locais onde eles terão o maior efeito, é essencial para atender os termos de conformidade. 

Parceria com a TI
Para cada sistema legado é preciso determinar o quão próximo de atender as regras de conformidade é possível chegar com base nas características do próprio sistema e dos dados armazenados, qual o orçamento necessário para torná-lo compatível com as novas regras, quais as necessidades de negócios e todos os demais fatores que possam ser relevantes. E a ajuda da área de TI é fundamental para alcançar um modelo de conformidade que garanta um cronograma de retenção, políticas de restrição de acesso e outros recursos necessários para um gerenciamento de privacidade eficiente. 

Essa parceria com a TI é que irá garantir que a empresa chegue o mais próximo possível da conformidade total, e traçar uma estratégia a partir desse ponto. É preciso ter em mente que, na maioria dos casos, um sistema legado pode não ser totalmente compatível com o nível de conformidade desejado, então “o mais próximo possível” é o termo que melhor descreve esse processo.  

A meta é ter, documentar e executar uma estratégia que “seja a melhor possível” para cada sistema ou repositório. Apesar de a LGPD exigir que todos os sistemas estejam de acordo com as regras de privacidade e tratamento de dados pessoais, sem prever uma situação que contemple o “seja a melhor possível”, essa será a defesa quando um fiscal for à empresa – “não é perfeito, mas é o melhor resultado, e o mais realista”. Isso, pelo menos, deve mitigar as penalidades. 

Esse processo deve ser repetido quantas vezes for necessário, mas sempre focando nas situações prioritárias, de alto risco e que exigem atenção imediata. 

A etapa mais importante é começar
É muito fácil ficar surpreso com a magnitude do problema, então, começar e colocar um plano em prática é a etapa mais importante. Primeiro por estabelecer que a empresa busca uma solução para o problema. Isso já ajuda a reduzir o risco. E, mais importante, é possível obter resultados significativos ao longo do tempo se o problema for abordado sistematicamente, sem tentar resolver tudo de uma vez.  

Para saber mais sobre como reduzir riscos de privacidade em sistemas legados, entre em contato conosco e saiba com a Access pode ajudar sua empresa com seus serviços de guarda e gestão de documentos.