LGPD exige reforma interna nas empresas, e já tinha que ter começado

Respeito à privacidade, liberdade de expressão, de informação e de comunicação, inviolabilidade da intimidade, da honra e da imagem, e muito mais no que diz respeito ao exercício do consumidor e aos direitos humanos. Forte tudo isso, não? Pois esses são fundamentos da Lei nº 13.709/2018, conhecida também como a Lei Geral de Proteção de Dados Pessoais (LGPD).

A partir de 20 de agosto de 2020, ou seja, daqui a menos de um ano, nós, consumidores, teremos o direito assegurado por lei de saber onde e como nossos dados serão utilizados, inclusive com a opção de tê-los removidos dos sistemas. As empresas – de todos os segmentos e portes – terão que se adequar.

O fato é que estar em compliance com essa regulação – algo que eu, particularmente, considero um ativo essencial das companhias – demanda uma verdadeira jornada de transformação dos processos corporativos internos. E quem ainda não começou a reforma melhor acelerar.

Nesse contexto, vejo cinco etapas e vou explicá-las de forma bastante sucinta.

A primeira é a auditoria. É preciso sistematicamente classificar os dados de acordo com sua sensibilidade e avaliar o impacto à proteção deles, determinando de que forma eles serão armazenados e processados.

A segunda etapa se refere às autenticações – todas a serem feitas em ambiente seguro e centralizado. Isso significa que as empresas deverão adotar soluções de criptografia e tokenização de dados.

Já a terceira diz respeito ao registro e monitoramento de acesso aos dados. Em outras palavras, são as regras relacionadas ao registro de atividades de processamento em relação aos dados pessoais, incluindo a necessidade de controladores e operadores manterem o registro das operações de tratamento de dados e a formulação de boas práticas de governança.

Em seguida, deve-se cuidar da definição e do controle de acesso aos dados sensíveis; isto é, que profissionais ou que grupos da empresa serão responsáveis por manipular os dados. A escolha das tecnologias de segurança e dos parceiros tecnológicos é também um grande diferencial aqui, pois são essas ferramentas que poderão fazer uma gestão inteligente dos acessos, controlando e monitorando comportamentos e entradas incomuns, inclusive com recurso para bloquear logins remotamente.

Por fim, a quinta etapa é o investimento em anonimização, um conceito difícil de pronunciar, mas fácil de entender. Valendo-me da definição oficial, trata-se do “processo de utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”. Traduzindo, não deverá ser mais possível relacionar um dado a uma pessoa específica.

A boa notícia é que não é preciso cumprir essa jornada sozinho, no escuro. Há empresas voltadas à área de integração para soluções ligadas a TI e com aplicação em setores mais críticos, como o de telecomunicações. Esses parceiros podem atuar como guias por essa via principal que tem como destino a Quarta Revolução Industrial.

Criptografia de dados e gerenciamento de chaves; tokenização de dados em nuvens múltiplas; controle de acesso de usuários aos dados; registro de eventos de acesso aos dados; e proteção de dados em tramitações abrangentes em uma TI híbrida são rotas já pavimentadas e sinalizadas para as organizações que olham para a LGPD.

Aliás, aqui vale um adendo: nesse contexto de nova legislação, as empresas que mantêm dados na nuvem ou em ambiente de infraestrutura híbrida não são mais vulneráveis, não! Muito mais do que tendência, as soluções em cloud representam um movimento irreversível por parte das corporações. E por isso mesmo, elas vêm agregadas de um forte sistema de cibersegurança por parte das provedoras e dos parceiros tecnológicos.

Em suma, a adequação bem-sucedida à nova lei que dispõe sobre o tratamento de dados pessoais é fruto, primeiramente, daquelas cinco etapas da mudança de processos corporativos internos, seguidas do engajamento de um conjunto de soluções tecnológicas (implementação das ferramentas e gestão delas).

Em poucas palavras, para o sucesso na implementação tecnológica, deve-se mudar a cultura e as regras internas, e ter os mesmos cuidados na escolha dos parceiros que lidam com esses dados. Lembre: essa jornada tem dia certo para acabar.

*Por Ricardo Rentes é CEO da Quality Technology, uma empresa voltada à área de integração para soluções ligadas a telecomunicações e tecnologia da informação que desenvolve projetos para pequenas, médias e grandes organizações. A Quality é parceira estratégica da Avaya, líder em soluções de contact center e comunicações unificadas em todo o mundo.