Todas as organizações têm que se prepararem para este investimento, que requer o envolvimento de várias áreas para que, de fato, consiga estar em compliance com a LGPD
Paulo França (*)
Após o Coronavírus tirar do foco das companhias a preparação das empresas para a Lei Geral de Proteção de Dados (LGPD), o tema volta à tona e, de acordo com a votação de ontem (26 de agosto) do Senado, a Lei está em vigor e deve ser sancionada pelo presidente nas próximas três semanas. Independente desta definição da data de vigência, já sabemos que em agosto de 2021 iniciam as multas em virtude dos descumprimentos de suas diretrizes. É preciso atenção a partir de agora. Pode parecer que não, mas o tempo é curto. A medida, daqui por diante, é iniciar um planejamento para a preparação e adequação das operações.
Sabemos que o objetivo da LGPD é proteger a privacidade dos cidadãos. Mas, quais são esses dados que devem receber atenção? Basicamente qualquer informação que possibilite a identificação de uma pessoa, como seu CPF (Cadastro de Pessoas Físicas), além dos dados “sensíveis”, que são as características pessoais e, também, de preferências dos cidadãos, como aspectos físicos, dados médicos e posicionamentos políticos, entre outros.
Lembrando que, a Lei prevê 10 bases para o tratamento desses dados e, para que essas diretrizes sejam bem observadas, é preciso de atenção em todas as atividades relacionadas à manipulação de dados, como: o acesso, o armazenamento, a classificação, a coleta, o controle, a distribuição, a eliminação; entre outras.
De acordo com uma pesquisa realizada pela ICTS Protiviti entre outubro de 2019 e março de 2020 sobre a adequação das empresas à LGPD, constatou-se que 84% das companhias do Brasil não estão preparadas para as regras de privacidade de dados. Além disso, apenas 12,5% das empresas mapearam os riscos de segurança da informação e proteção de dados, etapa considerada primária na adequação à Lei.
Então, como se preparar? É preciso estar claro às empresas que elas deverão se estruturar por meio de ferramentas, pessoas, processos e técnicas. Portanto, o primeiro passo é a criação de um programa de adequação na organização, que será o responsável pela gestão dessas ações e deverá ser liderado pelo DPO (Data Protection Officer), cargo criado pela LGPD. Ele também será o elo de comunicação entre a a Autoridade Nacional de Proteção de Dados (ANPD) e o titular dos dados em eventuais incidentes.
Vale também lembrar que esse programa de adequação não pode (e nem deve) ser pautado apenas num viés jurídico, processual ou tecnológico. Digo isso porque temos percebido que algumas organizações têm escolhido um caminho mais simples e menos técnico. E isso pode comprometer o objetivo do projeto.
Entretanto, os envolvidos nesse processo de adequação têm que utilizar a tecnologia a favor da organização. Afinal, deve-se considerar a importância do know-how tecnológico desde a avaliação inicial pautada em boas práticas, que vão desde normas de Segurança da Informação, como a ISO, e framework de governança de Tecnologia da Informação, como o COBIT (do inglês, Control Objectives for Information and related Technology), passando por componentes de monitoramento ativo, plataformas de dados, interfaces e cibersegurança.
Somado a esses processos, ainda há o desafio das plataformas de gestão e governança de privacidade, as quais devem ser aplicadas algumas técnicas, tais como gerenciamento de riscos, de consentimentos, de petições e, também, dos níveis de exposição e do ciclo de vida dos dados pessoais.
Apesar das incertezas que rondam a data de vigência da Lei, ela está aprovada e estará cada vez mais em pauta nas empresas. Portanto, todas as organizações têm que se prepararem para este investimento, que requer o envolvimento de várias áreas para que, de fato, consiga estar em compliance com a LGPD.
Independentemente de sua vigência, é hora de começar a colocar essa adequação em prática. E sua empresa, já iniciou o programa para a nova Lei?
(*) Gerente de Digital Consulting and Innovation da Engineering