Olá pessoal, este é um post de nosso estudante Fernando Oliveira, que atua como Project Manager na Intelbras e concluiu o módulo ISFS – Information Security, baseado no ISO 27001 Foundation. No texto ele trata sobre a Lei Geral de Proteção de Dados (LGPD), sobre o ISO 27001 – segurança da informação, das aulas e relações com a carreira. Boa leitura!


No final de semana de 07 e 08 de Março, fiz um curso sobre Segurança da Informação (ISO 27001) com a galera do @doutorize, a fim de me certificar como DPO (Data Protection Officer). Foi um fim de semana intenso e com 16 horas de muito conteúdo. Mas Fernando, você é gestor de projetos e quer mudar de área? Não, exatamente, eu como Gestor de Projetos, tenho por obrigação me adequar e estar atento as leis para que dependendo do projeto que eu for ou estiver alocado, faça um bom trabalho e esteja em conformidade com as Leis. Por isso compartilho, uma breve ideia sobre o assunto, chamo de introdução, pois quero aprofundar mais sobre o assunto por aqui.

Com relação a Segurança da Informação, com base na ISO-27001. Oriento primeiramente a pessoa interessada, ler a Lei de Proteção de Dados 13.709 e depois a lei 18.853, pois teve vetos com relação a alguns assuntos, como por exemplo:

– A lei desobriga a empresa ter um DPO, profissional certificado, exigindo que a empresa possua um profissional com função de “encarregado” de Dados;

– A lei 13.709 exigia que o servidor na nuvem/datacenter estivesse dentro do Brasil, o que foi alterado no novo artigo, deixando aberto a contratação de servidor/datacenter de fora do Brasil, como Amazon e Google por exemplo.

Com relação aos papéis/funções, dentro da #LGPD temos: Titular (pessoas/clientes), Controlador (Presidente, Diretor da Empresa), Operador (operadores de telemarketing, DBA, suporte técnico entre outros funcionários da empresa), o Encarregado (DPO ou outro profissional) e ANPD (Agência Nacional de Proteção de Dados).

Fernando Oliveira é aluno do curso de DPO da terceira turma.

O Controlador também pode exercer o papel de Operador ou ter outros papéis. Exemplo, em startups/empresas pequenas, o proprietário pode exercer várias funções. Para empresas já com algum tempo no mercado, poderá utilizar o termo de confidencialidade, no momento da contratação para dar responsabilidade ao funcionários com relação aos dados que ele terá acesso. Isso é muito comum em empresas de desenvolvimento de software para proteger o código fonte.

Dentro da LGPD e segurança da informação, ficou muito claro que a pessoa com função de DPO (Data Protection Officer) ou o Encarregado da informação, dentro da organização (empresa), não terá papel de TI. Ou seja, ela será uma área que trabalha junto com a equipe de TI da empresa, porém para o advogado, é interessante saber que a empresa precisa de licenciamento do Windows original, ter um antivírus atualizado e outras políticas de segurança (entre outros pontos). O advogado precisar estar antenado com o assunto. Para os profissionais da área de TI isso já está bem claro e estabelecido na parte de ITIL, COBIT e segurança da informação.

Ajudei um pouco? Deixa seu comentário ou dúvida! Espero ter ajudado e em breve vou escrever mais sobre o assunto no meu Linkedin, compartilharei alguns tópicos do que foi abordado e darei algumas ideias.

Autor: Fernando Luiz de Oliveira
Administrador, Project Manager at Intelbras, Management 3.0.

#iso27001 #segurancadainformacao #lgpd #direitodigital #DPO #protecaodedados #dataprotectionofficer #privacidade