*Por Paulo França
Logo após o Coronavírus tirar do foco
das companhias a preparação das empresas para a Lei Geral de Proteção de Dados
(LGPD), o tema volta à tona e, de acordo com a votação de ontem (26 de agosto)
do Senado, a Lei está em vigor e deve ser sancionada pelo presidente nas
próximas três semanas. Independente desta definição da data de vigência, já
sabemos que em agosto de 2021 iniciam as multas em virtude dos descumprimentos
de suas diretrizes. É preciso atenção a partir de agora. Pode parecer que não,
mas o tempo é curto. A medida, daqui por diante, é iniciar um planejamento para
a preparação e adequação das operações.
Sabemos que o objetivo da LGPD é
proteger a privacidade dos cidadãos. Mas, quais são esses dados que devem
receber atenção? Basicamente qualquer informação que possibilite a
identificação de uma pessoa, como seu CPF (Cadastro de Pessoas Físicas), além
dos dados “sensíveis”, que são as características pessoais e, também, de
preferências dos cidadãos, como aspectos físicos, dados médicos e posicionamentos
políticos, entre outros.
Lembrando que, a Lei prevê 10 bases para
o tratamento desses dados e, para que essas diretrizes sejam bem observadas, é
preciso de atenção em todas as atividades relacionadas à manipulação de dados,
como: o acesso, o armazenamento, a classificação, a coleta, o controle, a
distribuição, a eliminação; entre outras.
De acordo com uma pesquisa realizada
pela ICTS Protiviti entre outubro de 2019 e março de 2020 sobre a adequação das
empresas à LGPD, constatou-se que 84% das companhias do Brasil não estão preparadas
para as regras de privacidade de dados. Além disso, apenas 12,5% das empresas
mapearam os riscos de segurança da informação e proteção de dados, etapa
considerada primária na adequação à Lei.
Então, como se preparar? É preciso estar
claro às empresas que elas deverão se estruturar por meio de ferramentas,
pessoas, processos e técnicas. Portanto, o primeiro passo é a criação de um
programa de adequação na organização, que será o responsável pela gestão dessas
ações e deverá ser liderado pelo DPO (Data Protection Officer), cargo criado
pela LGPD. Ele também será o elo de comunicação entre a a Autoridade
Nacional de Proteção de Dados (ANPD) e o titular dos dados em eventuais
incidentes.
Vale também lembrar que esse programa de
adequação não pode (e nem deve) ser pautado apenas num viés jurídico,
processual ou tecnológico. Digo isso porque temos percebido que algumas
organizações têm escolhido um caminho mais simples e menos técnico. E isso pode
comprometer o objetivo do projeto.
Entretanto, os envolvidos nesse processo
de adequação têm que utilizar a tecnologia a favor da organização. Afinal,
deve-se considerar a importância do know-how tecnológico desde a avaliação
inicial pautada em boas práticas, que vão desde normas de Segurança da
Informação, como a ISO, e framework de governança de Tecnologia da Informação,
como o COBIT (do inglês, Control
Objectives for Information and related Technology), passando por
componentes de monitoramento ativo, plataformas de dados, interfaces e
cibersegurança.
Somado a esses processos, ainda há o
desafio das plataformas de gestão e governança de privacidade, as quais devem
ser aplicadas algumas técnicas, tais como gerenciamento de riscos, de
consentimentos, de petições e, também, dos níveis de exposição e do ciclo de vida
dos dados pessoais.
Apesar das incertezas que rondam a data
de vigência da Lei, ela está aprovada e estará cada vez mais em pauta nas
empresas. Portanto, todas as organizações têm que se prepararem para este
investimento, que requer o envolvimento de várias áreas para que, de fato,
consiga estar em compliance com a LGPD.
Independentemente de sua vigência, é
hora de começar a colocar essa adequação em prática. E sua empresa, já iniciou
o programa para a nova Lei?
*Paulo
França é gerente de Digital Consulting and Innovation
da Engineering, companhia global de Tecnologia da Informação e Consultoria
especializada em Transformação Digital.