1. Home >
  2. Notícias >
  3. Notícias >
  4. Adequação à LGPD pode gerar... >

Adequação à LGPD pode gerar diferencial competitivo para as empresas

E trabalho conjunto entre CISO e DPO pode fazer toda a diferença na criação de uma estratégia, mostrou plenária do IT Forum Anywhere

Author Photo
10:07 pm - 16 de junho de 2021
Da esquerda para direita e de cima para baixo: Marcos Sêmola, sócio de cibersegurança da EY; Dan Harif, DPO, e Gustavo Niskier, CISO, ambos da Vale

Um jogo novo, que todas as empresas são convidadas a jogar, mas em que boa parte das regras ainda não foi definida. Se à primeira vista parece arriscado demais, fica o lembrete: os negócios que aprenderem a competir antes terão ganhos substâncias, inclusive concorrenciais. E parte desse aprendizado pode passar por uma tabelinha bem-sucedida entre um executivo de segurança da informação (CISO) e outro de proteção de dados (DPO).

A analogia foi feita por Marcos Sêmola, sócio de cibersegurança da EY, na segunda plenária desta quarta-feira (16) do IT Forum > Anywhere. Intitulada “Quando CISO e DPO juntos fazem a diferença para a LGPD”, o objetivo do painel foi não só identificar os maiores desafios regulatórios impostos pela Lei Geral de Proteção de Dados, mas também como a cooperação entre CISO e DPO pode fazer a diferença na jornada rumo às boas práticas de gestão de riscos de segurança da informação e privacidade de dados.

O desafio, segundo Sêmola, começa não só na necessidade de cumprir uma lei que veio com força e para ficar, mas também em minimizar riscos de cibersegurança em um ambiente em que ocorrem 3,4 bilhões de tentativas de ciberataques apenas nos primeiros nove meses de 2020, segundo a Associação Brasileira de Internet, a Abranet. “Isso dá ideia da dimensão que é pilotar um negócio nos dias de hoje”, disse o sócio da EY, mencionando que o impacto financeiro de um incidente de segurança pode ultrapassar US$ 4 milhões, segundo uma média calculada pela IBM para os últimos seis anos.

Leia mais: “Inclusão deve ser projeto pragmático, não moral”, defende Lilia Schwarcz

Não à toa os profissionais de segurança e privacidade tem ganhado cada vez mais lugar em conselhos de administração de grandes empresas. O objetivo é trazer a urgência relativa ao tema a esses órgãos colegiados, considerando não só que a LGPD começa a aplicar advertências e multas em agosto de 2021, mas que já está valendo. E as empresas já precisam respeitar os limites de privacidade impostos, uma vez que a LGPD passou a vigorar em dezembro de 2018.

“Vimos a primeira ação de busca e apreensão baseada na LGPD ocorrendo antes de 1º de agosto de 2021”, disse Sêmola, citando uma ordem deferida pela justiça de São Paulo na primeira semana de junho contra uma operadora de planos de saúde. A empresa é suspeita de usar indevidamente os dados dos clientes.

“O que é preciso evitar a qualquer custo? Nesse cenário meio caótico de indefinição é preciso evitar os danos que uma ameaça pode provocar. E se as empresas forem diligentes e sensibilizadas, saberão converter esse risco de dano em ganho – reputacional e eventualmente financeiro”, disse Sêmola. “Porque o trabalho feito se torna diferencial competitivo.”

Em uma outra analogia, o especialista compara a adequação à LGPD a construir uma ponte que conecta os dados pessoais dos clientes e operados pelas empresas aos cidadãos. E cabe às organizações fazer isso demonstrando respeito à privacidade – e com transparência.

“Quando uma empresa constrói essa ponte tem que estar preparada para atender três principais eventos que podem surgir: o primeiro é que os titulares queiram exercer seus direitos, e são muitos; o segundo que reagir a incidentes de segurança que podem acarretar incidentes de privacidade; e o terceiro que estejam preparadas para prestar contas em fiscalizações e judicializações”, explicou Sêmola.

Exemplo da Vale

Para ilustrar como pode se dar essa tabelinha entre CISO e DPO na construção de uma estratégia de proteção de dados e privacidade em uma grande empresa, o sócio da EY convidou Dan Harif e Gustavo Niskier, que ocupam respectivamente os dois cargos na Vale. Eles apresentaram, durante a plenária, como a mineradora construiu – e ainda constrói – sua estratégia de conformidade à LGPD.

“O tema começou a ser discutido dentro da função de segurança lá pelos idos de 2018”, contou o CISO, Dan Harif. “Muito motivados pela GPDR [General Data Protection Regulation] europeia.”

Foi feito um diagnóstico de nível de maturidade com foco em LGPD. Em 2019 o Comitê Executivo da Vale definiu um responsável pelo programa de privacidade, atribuição dada a área de segurança da informação. Um programa foi lançado, e ele incluía o estabelecimento de um grupo multidisciplinar formado por um time jurídico e outro de segurança da informação, mas participação de recursos humanos, suprimentos, segurança empresarial e medicina do trabalho, entre outras áreas afetadas.

“Foram duas dimensões: uma de fundação, trabalhando políticas, contratos, ativos e adequação, gestão de incidentes etc. E toda parte de conscientização e treinamento”, disse Harif. “Eu já tinha o entendimento e era parte da estratégia a recomendação de encontrar um melhor lugar na estrutura da Vale para atribuir lugar a um DPO.”

Foi assim que no início de 2021 foi criada a área de privacidade da Vale.

Privacidade na prática

A estrutura de privacidade da Vale liderada por Niskier responde ao vice-presidente jurídico da Vale, Alexandre D’Ambrosio. Esse lugar na estrutura corporativa parate do princípio de que privacidade de dados é parte de um programa maior de compliance. E de que a LGPD não seria uma “jabuticaba”, ou seja, criaria sim uma cultura de respeito à privacidade.

“A gente entendeu isso muito rápido, com base em sinais muito claros tanto por parte da ANDP [Autoridade Nacional de Proteção de Dados], que está em processo de implementação ágil, ao menos no último ano. Ela tem uma agenda regulatória que está sendo cumprida”, diz o DPO. “E empresas com a Vale também atuam no exterior, e o respeito à privacidade e aos controles passam a ser condição para negócios.”

A partir desse entendimento a Vale definiu uma governança interna baseada em normas aplicadas. Os fluxos de informações pessoais que circulam na Vale foram identificados, sistemas foram criados. Houve mapeamento de riscos, criação de normas e do comitê de privacidade. Os processos que tratam de dados pessoais são avaliados periodicamente. Foi um trabalho feito com consultoria da EY.

“Todos os países em que a Vale opera, sem exceção, tem leis de privacidade. E eu digo da América do Sul até a Ásia, todos tem regras de privacidade. E os compliances de privacidade tratam de forma clara e dura a transferência internacional de dados”, pondera o DPO. “É preciso um sistema de controle de dados internacionais. E estamos nesse momento, criando um time global. Já temos funcionários na China, Canadá, Europa… Estamos nos organizando para ter em outros países também.”

Para Harif, na relação entre CISO e DPO existe “independência e interdependência”, ou seja, ambos trabalham com proximidade para mitigar riscos e, ao mesmo tempo, equalizar os limites da tolerância aos riscos.

“Vai ter vezes em que segurança [o CISO] vai bater na minha porta e dizer que certo caminho não é o melhor. E vai ter vezes em que eu vou falar para segurança que tal gestão não é mais eficiente. Mas sempre de forma independente, para que as áreas possam se complementar”, salienta o DPO, Gustavo Niskier.

Tags:
cibersegurança
CISO
DPO
EY
LGPD
Marcos Sêmola
proteção de dados
Segurança da Informação

Notícias relacionadas

Notícias
Lucila Orsini assume diretoria de TI Brasil da Nutrien
Notícias
Huawei domina mercado chinês enquanto Apple enfrenta queda nas vendas
Notícias
Empresas ainda não estão preparadas para implementar plenamente a IA, segundo pesquisa
Notícias
12 oportunidades de ingressar na área de tecnologia
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.