A Lei Geral de Proteção de Dados deixou de ser um tema restrito ao jurídico ou à TI e passou a ocupar também o centro da governança. Ela explicita algo que muitas organizações ainda resistem a admitir: dados pessoais não são apenas ativos operacionais, são ativos reputacionais, estratégicos e regulatórios.
Mirella Kurata (*)
A governança corporativa sempre esteve ligada à capacidade de uma organização de decidir bem, controlar riscos, distribuir responsabilidades e sustentar valores ao longo do tempo. O que mudou nos últimos anos, porém, foi o ambiente em que é preciso operar isso. Hoje, uma empresa não é governada apenas por conselhos, comitês, orçamentos e indicadores financeiros, mas, também, por sistemas digitais, fluxos massivos de informação, fornecedores tecnológicos, cibersegurança e decisões automatizadas.
Por isso, a Lei Geral de Proteção de Dados (LGPD) deixou de ser um tema restrito ao jurídico ou à TI e passou a ocupar também o centro da governança. Ela explicita algo que muitas organizações ainda resistem a admitir: dados pessoais não são apenas ativos operacionais, são ativos reputacionais, estratégicos e regulatórios.
Tratá-los sem critério significa ampliar a exposição, fragilizar processos e comprometer a confiança do cliente, do colaborador, do parceiro e do mercado. A empresa deve, então, conseguir demonstrar que governa seus dados com finalidade, necessidade, segurança, transparência e responsabilidade para que o investimento deixe de ser custo e passe a ser vantagem competitiva.
Enquanto a governança define quem, como e com quais mecanismos, a LGPD organiza o uso legítimo da informação, exigindo base legal, medidas de segurança, documentação, resposta a incidentes e respeito aos direitos dos titulares.
Em termos práticos, isso significa que a empresa precisa saber quais dados coleta, onde armazena, com quem compartilha, por quanto tempo retém e por que trata cada informação. Isso não é apenas “cumprir a lei”, mas sim profissionalizar sua forma de operar, protegendo a capacidade de continuar funcionando, mesmo diante de falhas, ataques ou questionamentos regulatórios.
Controles técnicos e administrativos
Outro aspecto central é a integração entre segurança da informação e proteção de dados. Não há governança madura sem controles técnicos e administrativos adequados. Vazamentos, acessos indevidos, perda de disponibilidade e falhas em terceiros podem comprometer contratos, gerar sanções e corroer a confiança em poucos minutos.
Na prática, a maturidade começa pelo básico, como com inventário de dados, definição de bases legais e revisão contratual. Mas a evolução real acontece quando esses elementos deixam de ser iniciativas isoladas e passam a ter integração. Deve-se sair da lógica de remediação e entrar na de prevenção.
É importante reconhecer que o tema não é apenas de grandes corporações, mas de pequenas e médias empresas também, que podem, e devem, adotar uma versão proporcional da governança de dados. Em mercados cada vez mais exigentes, uma PME que demonstra disciplina em privacidade e segurança transmite mais credibilidade e abre portas comerciais que antes pareciam restritas a empresas maiores.
Porém, governança e LGPD não se sustentam apenas em documentos. Elas dependem de comportamento e exigem treinamento, conscientização, disciplina operacional e liderança. Uma política de privacidade bonita, mas desconhecida internamente, não gera valor.
É justamente por isso que a Lei também conversa com o futuro da governança de IA. Se a organização já precisa controlar dados, fluxos e acessos, também precisará controlar critérios, limites e responsabilidades de sistemas que automatizam decisões e ampliam a escala de tratamento.
Empresas que compreendem que devem agir com integridade, previsibilidade e responsabilidade, em um ambiente cada vez mais digital, não veem a privacidade como obstáculo, mas como diferencial competitivo, tratando a conformidade como base para crescer com confiança.
(*) CEO da DMK3