LGPD: os assuntos mal resolvidos que ameaçam a adequação das empresas à nova lei
Em um mundo onde big data e analytics reinam, o fato é que muitas empresas esbarram em questões elementares de suas arquiteturas de sistemas
Por Ricardo Stucchi*
Humor é coisa séria, dizem, e a TI sabe o que isso significa. Debocha do drama para rir das próprias adversidades. Se você é da área, já deve ter ouvido um clássico: a luta do analista de sistemas é criar sistemas à prova de pessoas querendo burlar o sistema. E essa afirmação abarca toda conduta, seja ela maliciosa ou não, que boicota os princípios de governança de dados. A anedota é antiga, mas continua atual, especialmente com a nova Lei Geral de Proteção de Dados, a LGPD. Só que ninguém tem estômago, ainda, para fazer piada sobre ela.
Descobrir como andar em conformidade com o novo marco regulatório, que entra oficialmente em vigor a partir de agosto de 2020, ganhou caráter de emergência nas organizações. Com ele se revela uma fragilidade que já estava lá muito antes da aprovação da lei: as empresas não sabem onde estão as informações que precisam ser protegidas.
Ainda que tenhamos discussões sobre o uso de tecnologias cada vez mais sofisticadas, voltadas a um mundo onde big data e ‘analytics’ reinam, o fato é que muitas empresas esbarram em questões elementares de suas arquiteturas de sistemas. Com frequência, desconhecem dados replicados em diferentes fontes, fazem uso de planilhas que sabotam os padrões de controle e não sabem o caminho de informações que precisam ser preservadas ou gerenciadas. Só que elas nunca precisaram se preocupar com isso.
Essa deficiência gerou, até hoje, uma ineficiência interna preocupante que, por sua vez, causou alguns prejuízos velados, outros escancarados. A empresa chega a operar sem ter uma fonte segura de dados – ela não sabe, por exemplo, de qual sistema (ou planilha) extrair o dado que precisa, nem mesmo se ele está atualizado. E embora a dificuldade persista exatamente como sempre foi, o surgimento da LGPD anuncia um estrago muito maior.
Do ponto de vista de tecnologia, a construção de uma arquitetura de sistemas integrados, com estruturação de uma governança de dados, é preocupação de poucas organizações. É pessimista, eu sei, mas é a realidade com que lido como consultor – em grandes empresas, ressalto, citando aqui apenas os bancos como exceção, mas somente porque já lidam com regras próprias do mercado financeiro e, portanto, têm um nível de maturidade maior. Como fazer um sistema falar com outro? Qual a melhor forma de manter as informações encadeadas? Como rastrear qualquer atualização de dados e sistemas? Tecnicamente, essa base é desenvolvida de uma forma não estruturada.
A complexidade da arquitetura de sistemas aumenta quando consideramos ainda que o caminho da informação é uma cauda longa. Além de clientes, envolve colaboradores e fornecedores. O que isso tem a ver com a LGPD? Pois se você contrata serviços de nuvem, por exemplo, sua empresa se torna corresponsável em garantir que as informações hospedadas pelo fornecedor sejam devidamente gerenciadas e protegidas.
Outro agravante está relacionado a um fator cultural: o senso de segurança nas empresas é perigosamente subjetivo. Outro dia, em um grande cliente, descobri que havia uma série de contatos criptografados e mantidos como arquivos confidenciais, enquanto os mesmos documentos em versão física eram guardados no armário de materiais de limpeza.
Você acha que a situação acima é uma exceção? Que é um exemplo fora da realidade? Garanto a você que não.
A maior parte das organizações opera com um grau elevado de permissividade no uso de dados. O colaborador exporta a base de sistemas para uma planilha para que possa trabalhar sobre ela mais facilmente, mas, ao fazer isso, derruba o nível de controle das informações. A planilha se torna uma extensão do sistema, mas sem os requisitos necessários de confidencialidade. E talvez por isso os advogados estejam tão preocupados – andar em conformidade com a LGPD é uma lição de casa de anos acumulados.
Os escritórios de advocacia precisam, desde já, se aproximar das áreas de TI, pois não há adequação possível sem uma revisão da arquitetura de sistemas – e ela pode se estender por mais tempo do que você imagina, dependendo da complexidade. No fim, todos vão precisar trabalhar juntos – TI, jurídico, RH, negócio – para assimilar o novo marco regulatório e aplicá-lo na realidade corporativa. Todos nós vamos precisar de ajuda.
* Ricardo Stucchi é sócio-consultor da Lozinsky Consultoria.
