5 dicas para bancos de dados em nuvem AWS se adequarem à LGPD

A Lei Geral de Proteção de Dados (LGPD) vem para delimitar como dados pessoais são coletados, armazenados e utilizados. Ou, em uma visão mais direcionada, traz as pessoas para o centro dessa discussão.

A lei deve entrar em vigor em agosto de 2020 e o prazo para adequação é até 29 de dezembro. Em caso de infrações, multas e sanções poderão ser aplicadas. As medidas visam, entre outros, o bloqueio de operação de dados e multas de até R$ 50 milhões por infração.

Com a LGPD, organizações públicas e privadas, ou todas aquelas que lidam com dados pessoais, precisam rever políticas de uso e privacidade. Entre as exigências, dados de consumidores e/ou clientes devem ser armazenados em território nacional.

Sabendo-se que ainda há dúvidas e modelos a serem refeitos até a data limite, toda dica é muito bem vinda. Considerando o armazenamento de dados em nuvem, a Coordenadora de Pessoas, Projetos e Processos da BRLink, Ana Di Roberto, compartilhou cinco pontos importantes que podem ser consultados a seguir.

1. Segurança

A conta root. concede acesso irrestrito aos recursos, informações de faturamento e dados pessoais. Portanto, para desenvolver atividades que requerem a política AdministratorAccess, o ideal é criar usuários no IAM, que possibilita segurança no gerenciamento de acesso aos recursos da AWS.

Exija um comprimento mínimo, o uso de números, letras maiúsculas, minúsculas e símbolos para a composição da palavra-chave. Assim estará ampliando a segurança da senha.

Utilize as ferramentas oferecidas pela AWS! A Autenticação Multifator (MFA), quando configurada, amplia a proteção dos seus recursos e pode ser habilitada para usuários do IAM ou para o usuário da conta raiz AWS.

2. Criptografia

Codificar os dados, além de camuflar o valor da informação, torna o acesso a ela restrito apenas ao emissor e ao receptor. Assim, a criptografia é uma ótima forma de prevenir ataques e, por consequência, o vazamento de dados.

3. DPO

Contrate um Data Protection Officer (DPO), ou uma empresa que ofereça o serviço de gerenciamento de nuvem, como a BRLink. Esse profissional responderá pela proteção de dados e será responsável pela comunicação entre a sua empresa, os detentores dos dados e a Agência Nacional de Proteção de Dados (ANPD).

É de extrema importância que o DPO conheça muito bem a empresa, desenvolva o mapeamento de dados e acompanhe o processo de tratamento desses dados.

4. Consentimento/Retificação

Tenha documentado um consentimento para cada dado coletado de clientes e fornecedores. É fundamental que o documento seja claro em relação a quais dados serão armazenados e para que serão utilizados.

Essa documentação pode ser necessária para provar que sua empresa foi autorizada a manter e fazer uso de tais dados. É importante lembrar que utilizar os dados para qualquer situação que não tenha sido consentida previamente, pode acarretar sanções para o seu negócio.

• Assista: Segurança de dados e LGPD: “empresas precisam respeitar clientes”

É necessário que os titulares dos dados coletados, tenham a opção de retificar, atualizar, cancelar ou até mesmo solicitar a exclusão dos mesmos. É dever da empresa divulgar a existência dessa possibilidade e as instruções que se fizerem necessárias.

5. Plano B

Tenha um plano para colocar em ação se algum acidente acontecer. Fazer backups é uma maneira de garantir a existência dos arquivos da sua empresa em mais de um lugar e assim tê-los em caso de um ataque cibernético, por exemplo.

Se por algum motivo houver vazamento de dados, é fundamental que a sua empresa seja transparente e informe os clientes e fornecedores, amenizando o impacto da situação e restabelecendo a sua credibilidade no mercado.