Produto
Preços
Blog
Encontre seu DPO
Agende uma Demonstração

Proteção de Dados ou Segurança da Informação: Entenda a Relevância de Ambos para a sua Empresa

Nos últimos anos, a discussão sobre segurança da informação e proteção de dados pessoais ganhou força nas empresas brasileiras movido especialmente pelo aprimoramento de golpes cibernéticos que servem de alerta para melhoria na segurança interna.  

Porém, apesar de relacionados, um Sistema de Gestão de Segurança da Informação (SGSI) e um Sistema de Governança de Privacidade e Proteção de Dados Pessoais têm objetivos distintos e não devem ser confundidos.

Neste artigo, você vai entender sobre o que cada sistema faz, em que pontos ambos se conectam, porque são complementares e porque a proteção de dados depende, mas não se limite, à segurança da informação.  

O que é um Sistema de Gestão de Segurança da Informação?

O SGSI é um sistema de gestão baseado principalmente na ISO n° 27001, que reúne processos, políticas e controles para garantir a confidencialidade, integridade e disponibilidade das informações da organização.

Em um SGSI, são definidos e mantidos por:

  • políticas de segurança da informação,
  • controles de acesso,
  • criptografia,
  • gestão de incidentes,
  • inventário de ativos,
  • análise e tratamento de riscos,
  • planos de continuidade de negócios.

O que é um Sistema de Proteção de Dados Pessoais?

Já o Sistema de Proteção de Dados Pessoais, ou programa de governança em privacidade, é estruturado para garantir que a organização cumpra com as exigências da LGPD, assegurando que os dados pessoais sejam tratados com licitude, finalidades legítimas, de forma necessária, transparente e proporcional e garantindo os direitos dos titulares.

Não basta desenvolver políticas ou ações isoladas, o programa exige uma estrutura contínua, organizada e estratégica para garantir a conformidade com a LGPD, a partir da junção de tecnologia e gestão.

Ele envolve práticas como:

  • mapeamento das operações de tratamento (ROPA),
  • definição de bases legais,
  • gestão de consentimentos,
  • procedimentos para atender solicitações dos titulares,
  • implementação do Encarregado (DPO),
  • relatórios de impacto à proteção de dados (RIPD/DPIA),
  • políticas de privacidade internas e externas.

Diferenças Fundamentais entre SGSI e Proteção de Dados

Embora ambos lidem com informações, eles se diferenciam em três pontos principais:

a) Finalidade

O SGSI protege informações gerais de uma organização contra riscos, enquanto a proteção de dados garante o tratamento legítimo e responsável dos dados pessoais.

b) Escopo

O escopo do SGSI é bem mais amplo, considerando que engloba todas as informações da empresa, sejam elas técnicas, financeiras, operacionais, etc, enquanto a proteção de dados regula especificamente os dados pessoais e os dados pessoais sensíveis.

c) Natureza

O SGSI possui um foco mais técnico e operacional, a fim de proteger informações de qualquer natureza contra ameaças internas e externas, enquanto a proteção de dados possui um foco mais jurídico, ético e de governança, a fim de tratar dados pessoais corretamente.  

Por que um SGSI não garante conformidade com a LGPD

Muitas empresas acreditam que possuir um SGSI maduro ou até mesmo um certificado ISO 27001 significa estar automaticamente em conformidade com a LGPD, o que é um grave equívoco.  

Apesar de essencial, o SGSI não cobre elementos centrais da proteção de dados, como definir bases legais para cada tratamento, realizar avaliações jurídicas de risco à privacidade, avaliar necessidade e proporcionalidade, gerir consentimentos, definir políticas de privacidade, retenção e descarte.

Ou seja, você pode ter um ambiente extremamente seguro do ponto de vista técnico e, ainda assim, violar a LGPD. Uma empresa que coleta mais dados do que precisa ou usa dados para finalidades não informadas, por exemplo, não está em conformidade, mesmo que tenha os melhores controles de segurança do mercado.

Segurança da Informação como um Pilar da Proteção de Dados

A LGPD exige, no artigo 46, que organizações adotem medidas técnicas e administrativas de segurança para proteger dados pessoais, o que significa que a segurança da informação é um pilar indispensável dentro da proteção de dados, apesar de não ser o único.  

Sem segurança, não há proteção de dados, porém somente segurança não garante conformidade legal ou respeito aos direitos dos titulares. A falha na proteção de dados, assim como falhas na segurança, pode ocasionar incidentes graves, custando caro para a reputação e financeiro da empresa, portanto, devem andar lado a lado. 

SGSI e Proteção de Dados: sistemas complementares

A melhor forma de entender a relação entre SGSI e proteção de dados é como sistemas complementares, cada um cobrindo uma parte fundamental da proteção das informações e dados pessoais.

O SGSI fornece a base técnica, criando um ambiente seguro para armazenar, processar e transmitir dados, enquanto o Sistema de Proteção de Dados fornece a base legal e ética, garantindo que toda adequação seja documentada, facilitando o gerenciamento de riscos e preparando o terreno para auditorias.  

ECOMPLY viabiliza que toda governança de proteção de dados seja realizada de forma simplificada e completa, garantindo que nada passe despercebido ao realizar o projeto de adequação, que dispõe de inúmeros detalhes indispensáveis. O sistema ainda conta com parte crucial de SGSI para a proteção de dados, garantindo a gestão de medidas técnicas e administrativas.  

Quando os dois atuam juntos, a empresa consegue reduzir riscos jurídicos e reputacionais, prevenir incidentes de segurança e violações de privacidade, demonstrar accountability à ANPD, aumentar a confiança de clientes e parceiros e de fato garantir uma proteção de ponta tanto às informações em geral, quanto aos dados pessoais que exigem tratamento diferenciado.  

Conclusão

Um SGSI e um Sistema de Proteção de Dados Pessoais não são a mesma coisa e um não substitui o outro, enquanto o SGSI protege informações contra ameaças a partir de controles técnicos, o programa de privacidade garante que o tratamento de dados pessoais atenda as determinações legais da LGPD.

A combinação dos dois é o caminho mais eficaz para construir um ambiente digital protegido e em total conformidade com a legislação.

Possuir um SGSI e um sistema de proteção de dados são elementares para garantir a integridade e continuidade das operações. Vem conhecer como ECOMPLY garante a gestão de privacidade e proteção de dados a partir de processos contínuos, atualizados, colaborativos e eficazes, unindo tecnologia e cumprimento legal em um só lugar.  

Descubra ECOMPLY na prática

Ao enviar sua solicitação, você concorda com os termos de nossa política de privacidade.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

ECOMPLY é seu sistema operacional para atividades de proteção de dados. Por essa razão, você precisa de um apoio pessoal e um software que atenda às suas necessidades. Em nossa demonstração, nós fazemos o melhor para entender suas necessidades e garantirmos que você obtenha a informação que está procurando.

Hauke Holtkamp, CEO ECOMPLY GmbH
ECOMPLY.io Logo