Facebook Linkedin Whatsapp

Artigo

PUBLICAÇÃO

Procedimento de Classificação de Dados: Como Proteger Informações e Garantir Conformidade com a LGPD

Postado por 

Procedimento de Classificação de Dados

A classificação de dados é um componente fundamental para a Segurança da Informação e a conformidade com a Lei Geral de Proteção de Dados (LGPD). Vivemos em um mercado extremamente competitivo, onde a proteção de informações sensíveis e pessoais tornou-se uma prioridade para as organizações, seja em meio físico ou digital. Este artigo explora a relevância de implementar um procedimento de classificação de dados, trazendo um exemplo de estrutura para o procedimento de classificação de dados, introduzindo boas práticas para garantir que sua empresa esteja em conformidade com a LGPD, além de complementar a Política de Segurança da Informação (PSI) que deve seguir minimamente os requisitos das normas ISO 27001 e ISO 27701

A ISO 27001, norma padrão e a referência Internacional para a gestão da Segurança da informação, oferece uma estrutura internacionalmente reconhecida para a gestão da segurança da informação, garantindo que as organizações protejam seus ativos de informação contra ameaças e vulnerabilidades. Parte integrante dessa norma é a necessidade de uma classificação adequada dos dados, identificando o nível de sensibilidade e aplicando as medidas de proteção correspondentes.

A ISO 27701, primeira norma de privacidade global, por sua vez, estende as diretrizes de ISO 27001 para a gestão de informações de privacidade, fornecendo um framework para a proteção de dados pessoais conforme exigido pela LGPD.

Estrutura Sugerida para o Documento

Apresento aqui uma estrutura de documento que costumo utilizar na elaboração do Procedimento de Classificação de Dados, bem como exemplo de conteúdos da estrutura.

 

1. DEFINIÇÃO DO OBJETIVO 

Entendo que o documento deve estabelecer os procedimentos, regras e orientações a serem seguidos pelos colaboradores para a classificação dos dados pessoais tratados pela empresa, visando a proteção adequada aos ativos de informação, como parte do cumprimento legal perante a obrigação presente na Lei Geral de Proteção de Dados (Lei 13.709/2018).

 

2. APLICABILIDADE

O documento deve ser aplicado a todos os colaboradores da empresa, com atenção especial ao setor de TI, responsável pela manutenção e preservação de boa parte dos ativos corporativos, bem como o seu conteúdo.

Procedimento de Classificação de Dados
 

3. DEFINIÇÕES

Um glossário com os principais termos utilizados no documento deve ser apresentado, principalmente termos técnicos.

É comum apresentarmos definições como: Anonimização, Criptografia, Dados pessoais, Dados pessoais sensíveis, DPO, Informação e Mascaramento.

 

4. RESPONSABILIDADES

Sugiro que as responsabilidades de cada stakeholder seja claramente definida neste tópico. Alguns exemplos:

  • Colaboradores: Deve seguir os procedimentos de proteção da informação especificados pelo proprietário da informação; tratar as informações sob sua responsabilidade garantindo a segurança das informações e a implementação de possíveis ações para mitigar riscos de vazamento e tratamento inadequado de dados; reportar imediatamente ao DPO quaisquer incidentes de vazamentos de Informação.
  • Proprietário da informação: Efetuar a classificação dos dados com os quais trabalha; autorizar acesso às informações confidenciais, restritas e internas, quando necessário; comunicar a todos as regras dos dados pessoais que estão sob sua responsabilidade; monitorar o uso das informações que estão sob sua responsabilidade.
  • DPO: Auxiliar os colaboradores e proprietários da informação no processo de classificação das informações; apoiar na análise dos incidentes de dados ocorridos, tomando as medidas necessárias de acordo com cada incidente.
  • Departamento de Segurança e Tecnologia da Informação: apoiar as áreas na construção de soluções para mitigar riscos à confidencialidade, integridade ou disponibilidade de informações; garantir a destruição lógica das mídias de armazenamento, apoiar na análise dos incidentes de dados ocorridos, tomando as medidas necessárias de acordo com cada incidente.
  • Gestão de Pessoas: Treinar formalmente todos os novos colaboradores da empresa, conforme acordado com o DPO, quanto ao tema classificação de dados e realizar a reciclagem formal de colaboradores indicados pelos seus gestores, como necessitados de novo treinamento quanto ao tema.

 

5. DIRETRIZES

Todas as informações que contenham dados pessoais da empresa. devem ser classificadas de acordo com os critérios definidos no Procedimento de Classificação de Dados, em todos os estágios do seu ciclo de vida. A classificação é necessária para garantir que as informações recebam um nível adequado de proteção.

 

5.1 RÓTULOS DE CLASSIFICAÇÃO 

Os rótulos podem ser customizados para a companhia, traduzindo a realidade à que esta inserida. Minha sugestão é a utilização de quatro rótulos: Confidencial, Restrito, Uso Interno e Público.

Para cada rótulo, devemos trazer a descrição do que este representa. Exemplos:

  • CONFIDENCIAL: É toda informação de importância estratégica para o sucesso e continuidade dos objetivos da empresa. A informação deve ser classificada como confidencial quando sua exposição fora do ambiente da empresa possa gerar perdas financeiras, de imagem, de competitividade, entre outros danos, sendo assim, devem ser sempre protegidas e seu manuseio é restrito aos usuários previamente autorizados pelo proprietário da informação ou por alguma base legal autorizadora, de acordo com cada atividade de tratamento de dados. Informações, contendo dados pessoais classificados pela Lei Geral de Proteção de Dados (LGPD) como sensíveis devem ser tratados como dados CONFIDENCIAIS.
  • RESTRITO: É toda informação que caso seja indisponibilizada, corrompida ou acessada indevidamente possa gerar impactos desfavoráveis à empresa, aos seus clientes, fornecedores, terceiros, parceiros e empregados, podendo ter como resultado ações legais. A informação deve ser classificada como restrita quando acessos não autorizados a ela, mesmo que por membros da empresa, possam trazer danos ao negócio. O conhecimento, manuseio e controle de acesso dessas informações devem estar limitados a um grupo de usuários que necessita utilizá-la por motivo de função ou atividade exercida, ou por alguma base legal autorizadora, de acordo com cada atividade de tratamento de dados, podem ser divulgadas mediante conhecimento e autorização do proprietário da informação.
  • USO INTERNO: São informações compartilhadas internamente, destinadas à utilização interna por colaboradores e prestadores de serviço da empresa e não destinadas à distribuição fora do âmbito corporativo. O acesso indevido causa um constrangimento maior que o impacto e suas consequências. Geralmente são informações ou dados com baixo potencial de gerar danos ou expor a organização ou suas partes relacionadas, dizem respeito a questões internas de pouca relevância para o público externo.
  • PÚBLICO: Toda informação que pode ser distribuída ao público externo, o que, usualmente, ocorre por já serem conhecidas do público ou por estarem disponíveis em canais corporativos e públicos apropriados.

 

Ainda quanto aos rótulos, sugiro algumas definições:

  1. Se algum sistema ou conjunto de informações tem diferentes níveis de classificação, deve-se classificá-la considerando o maior grau de sigilo do conjunto das informações;
  2. Para as Mídias eletrônicas transportáveis, como pen drives ou HD externo por exemplo, é obrigatória a inclusão do rótulo de classificação da informação na própria mídia;
  3. Para documentos físicos e digitais é obrigatória a inclusão do rótulo de classificação da informação na capa do documento, e no cabeçalho ou rodapé de cada página;
  4. Nos e-mails é obrigatória a inclusão do rótulo de classificação da informação no início do campo “Assunto”; e,
  5. Toda informação em meio físico ou digital deve ser classificada.

 

Procedimento de Classificação de Dados

 

5.2 RESPONSÁVEL PELA CLASSIFICAÇÃO DA INFORMAÇÃO

É responsabilidade do proprietário da informação que está gerando, registrando ou adquirindo a informação, classificá-la de acordo com os critérios estabelecidos no documento, e, responsabilidade do gestor do proprietário da informação, garantir que esta classificação esteja sendo realizada de maneira adequada.

 

Procedimento de Classificação de Dados

 

6. TRATAMENTO DE DADOS

No Procedimento de Classificação de Dados, para cada um dos quatro rótulos, devem ser definidos critérios para o: Manuseio (Acesso, Distribuição e Comunicação), Armazenamento, Transporte físico, Descarte e Reprodução.

 

7. COMUNICAÇÃO

Deve ser indicado um canal de comunicação com a empresa em casos de dúvidas, sugestões, suspeita de vazamento, perda ou adulteração indevida de informações.

 

8. DISPOSIÇÕES GERAIS

Importante que sejam informadas as sanções e penalidades a que os colaboradores infratores estarão sujeitos. É comum direcionar a questão a uma norma específica, exemplo:  Os colaboradores que violarem este procedimento, podem estar sujeitos a aplicação de medidas disciplinares de acordo com as políticas da empresa.

Por fim, é importante que o documento seja nomeado, seguindo a codificação de documentos da empresa, possua um controle de revisões (versões), definição do autor e revisor, vigência e, é claro, a rotulação do documento quanto a classificação dos dados.

Dentro de um sistema de gestão e governança de dados, é aconselhável que o procedimento seja aprovado pelo Comitê de Gestão em Proteção de Dados, ou estrutura equivalente.

 

EM RESUMO

A classificação de dados não apenas facilita a identificação e proteção de informações críticas, mas também é essencial para assegurar a conformidade com a LGPD. A LGPD exige que as empresas tratem dados pessoais com responsabilidade, garantindo a segurança, privacidade, e o uso adequado das informações. Implementar um procedimento de classificação de dados ajuda a cumprir essas exigências, permitindo que as organizações identifiquem e protejam dados pessoais de forma eficiente.

Boas práticas incluem a realização de inventários regulares de dados, a formação contínua dos colaboradores sobre a importância da proteção de dados, e a aplicação de ferramentas tecnológicas avançadas para monitorar e proteger informações sensíveis. Além disso, é crucial desenvolver políticas claras e procedimentos que definam como os dados devem ser classificados e tratados dentro da organização, e é aí que entra o Procedimento de Classificação de Dados.

Um procedimento de classificação de dados eficaz é indispensável para a Segurança da Informação e a conformidade com a LGPD. As normas ISO 27001 e ISO 27701 fornecem diretrizes valiosas para a implementação desse procedimento, enquanto boas práticas ajudam a garantir que sua empresa esteja protegida e em conformidade com as regulamentações de proteção de dados.

Edson Costa

Edson Costa

É o DPO e Head de Segurança e Proteção de Dados Pessoais do Studio Estratégia. Também, é CEO e Fundador da ECCON, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro IBRASPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD). Instrutor oficial da EXIN para certificação de profissionais como DPO. Até 2023, DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte, como GREENPEACE Brasil e HARALD Chocolates.
Veja mais postagens do autor

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Categorias

NEWSLETTER STUDIO ESTRATÉGIA​

Digite seu endereço de e-mail para assinar nosso blog e receber notificações de novas publicações por e-mail.

Tags

administração púbilica adriana maués advocacia empresarial advocacia trabalhista advogada roberta volpato advogada vivian barbosa advogado compliance florianopolis advogado propriedade intelectual advogado propriedade intelectual florianópolis advogado thiago nielsen agenda 2030 agronegócio aliant alta administração alta direção Alta Gestão ana carolina colnaghi Análise de Dados Analise de Dados ANPD antissuborno aplicativos Assédio Eleitoral assédio moral assedio moral assedio no trabalho assédio sexual no trabalho auditoria auditoria de compliance

Entre em contato conosco

Quer saber mais sobre compliance?

ENVIAR SUA MENSAGEM

POSTAGENS RECENTES

E-BOOKS

SOBRE

  • Institucional
  • Diferenciais
  • Líderes das equipes
  • Vantagens e Benefícios
  • soGI
  • Parceiros

COMPLIANCE

  • Compliance
  • O que é compliance
  • Quando preciso?
  • Comunicação interna
  • Comunicação externa
  • Etapas
  • Due Diligence

COMPLIANCE E TECNOLOGIA

  • Inovação e Startups
  • Proteção e privacidade de dados
  • Palestras e treinamentos
  • Contato

STUDIO ESTRATÉGIA 2019 RUA ALMIRANTE ALVIM, Nº 595, CENTRO, FLORIANÓPOLIS/SC CEP: 88015-380

error: Conteúdo Protegido !!