Como trabalhar com dados pessoais de forma segura

Como armazenar e processar informações de identificação pessoal em uma empresa com riscos mínimos.

Os governos de muitos países estão endurecendo as leis que regulam o trabalho com dados pessoais. Ao mesmo tempo, o número de vazamentos de dados só cresce ano a ano. Se há cerca de dez anos as perdas financeiras mais graves que uma empresa poderia sofrer tendiam a ser processos judiciais e consequências de danos à reputação, hoje em dia são as penalidades dos reguladores que podem responder por uma parte significativa dos danos da empresa como resultado de um incidente de perda de dados. Por isso, decidimos publicar uma série de dicas que irão ajudá-lo a organizar processos seguros de coleta, armazenamento e transferência de informações de identificação pessoal em sua empresa.

Coleta de dados pessoais

A primeira coisa e a mais importante: colete dados somente se você tiver fundamentos legais suficientes para fazê-lo. A coleta de dados pode ser formalmente prevista pela lei do país em que sua empresa opera; ou por um contrato com termos que permitem claramente o processamento de PII; ou ainda pelo consentimento expresso do titular de PII em formato eletrônico ou em papel. Além disso:

  • Mantenha provas de seu consentimento obtido para processamento e armazenamento de PII em caso de reivindicações legais ou inspeções do regulador;
  • Não recolha dados que não sejam realmente necessários para os seus processos de trabalho (os dados não devem ser recolhidos “por via das dúvidas”);
  • Se dados que não são necessários para o trabalho forem coletados devido a algum erro ou mal-entendido, exclua-os imediatamente.

Armazenamento de dados pessoais

Se você coleta dados pessoais, é muito importante saber onde eles são armazenados, quem tem acesso a eles e como são processados. Para isso, pode ser necessário criar uma espécie de “mapa” onde estão cadastrados todos os processos relacionados a PII. Então, é sensato desenvolver regulamentos rígidos para o armazenamento e processamento de dados e monitorar constantemente a implementação de ambos. Também recomendamos o seguinte:

  • Armazenar PII exclusivamente em mídia inacessível a pessoas de fora;
  • Limitar o acesso ao PII a um número mínimo de funcionários (deve estar disponível apenas para aqueles que realmente precisam por motivos comerciais);
  • Excluir prontamente os dados pessoais que não são mais necessários para os processos de trabalho;
  • Se o fluxo de trabalho exigir o armazenamento de documentos em papel, eles devem ser colocados apenas em locais seguros (por exemplo, cofres com fechadura);
  • Documentos em papel desnecessários devem ser destruídos usando trituradores;
  • Caso os dados não sejam necessários como estão, devem ser anonimizados (privados de identificadores únicos para que, mesmo em caso de vazamento, seja impossível identificar o titular);
  • Se, devido aos seus processos de trabalho, não for possível anonimizar os dados, eles precisam ser pseudo-anonimizados — para converter as PII em uma string única para que a identificação do sujeito seja impossível sem informações adicionais;
  • Evitar o armazenamento de PII em dispositivos de trabalho e unidades externas ou flash (eles podem ser roubados ou perdidos e os dados do computador podem ser acessados por um invasor);
  • Não armazenar ou processar PII reais na infraestrutura de teste;
  • Não usar novos serviços para armazenar e processar dados até ter certeza de que eles atendem aos requisitos básicos de segurança.

Transferência de dados pessoais

Todos os processos relacionados com a transferência de dados pessoais devem ser registados e aprovados pelo departamento de segurança, ou pelo responsável pela proteção de dados se houver. Todos os funcionários com acesso a IPI devem ter instruções claras sobre como os dados devem ser tratados em sua empresa, quais serviços corporativos ou de terceiros podem ser usados para isso e para quem esses dados podem ser transferidos. Além disso, certifique-se de que:

  • Subcontratados (por exemplo, serviços gerenciados) não tenham acesso com direitos de administrador a sistemas que contenham PII;
  • O acesso aos dados seja limitado extraterritorialmente (dados de cidadãos de um país não devem estar disponíveis de outros países, a menos que a transferência de dados entre fronteiras não seja regulamentada);
  • Ao transferir PII, a criptografia seja sempre usada (isso é especialmente importante ao enviar dados por e-mail);
  • Ao transferir dados pessoais para organizações terceirizadas, um contrato de processamento de dados (DPA) seja assinado;
  • Você tem o direito legal de transferir PII a terceiros (ou seja, há consentimento claro do titular da PII para isso, ou isso é especificado em um contrato ou exigido por lei).

Obviamente, nem essas dicas nem regulamentos rígidos podem excluir a possibilidade de erro humano. Portanto, entre outras coisas, recomendamos a realização periódica de treinamentos de conscientização de segurança. E é aconselhável escolher plataformas de aprendizagem que tenham lições relacionadas à privacidade e a como trabalhar com dados pessoais especificamente.

Dicas