Preparação para LGPD passa pela questão cultural das organizações
CIOs discutem aderência com exigências da legislação e necessidade de mudanças culturais
No último dia 12 de junho, foi publicado no Diário Oficial da União a lei que adia a aplicação das sanções da LGPD para agosto de 2021. Com a pandemia, a entrada em vigor da Lei Geral de Proteção de Dados se tornou motivo de incertezas para empresas de todo o país, de diversos segmentos.
Para debater o tema, participaram do Breakouts no IT Forum@Home Adriano Tchen, CTO da Alelo; Gustavo Fosse, CIO do Banco do Brasil; Lilian Hoffmann, CIO da BP – A Beneficência Portuguesa de São Paulo; Cibele Cardin, CIO da Chubb Seguros, e Marcos Semola, sócio de cibersegurança da EY.
Preparação
O setor de saúde, especialmente, é o mais afetado pela situação atual, uma vez que hoje, a prioridade para o segmento é o combate à pandemia. A CIO da Beneficência Portuguesa, Lilian Hoffmann, falou sobre os desafios da instituição com relação à LGPD. “Até o fim do ano passado, já tínhamos concluído a primeira fase da nossa programação original, já tínhamos elencado nosso plano de ação e estávamos em uma fase de olhar como seria nossa governança”, conta.
Agora, os planos da BP inegavelmente foram alterados para dar prioridade às adaptações causadas pela Covid-19. “Quando a quarentena chegou, a gente procurou, com os processos de postergação, seguir com algumas atividades que não foram impactadas [pela pandemia]. Se as sanções forem acontecer em agosto, a gente não estaria pronto. Não adianta negar que temos mais da metade do caminho para seguir”, diz. “O hospital se voltou para entender uma doença nova, e as pessoas administrativas que estavam focadas nesse tema foram colocadas em home office. Isso não é comum na área de saúde.”
Para ela, um dos principais desafios hoje, na área da saúde, é implementar na cultura das empresas processos e ferramentas que estejam em aderência com a LGPD, tanto quanto adotar novas tecnologias. “Nós seguimos com as etapas que eram passíveis de serem feitas para cumprir com o prazo da LGPD, mas as atividades culturais de informação a gente brecou por enquanto. Ninguém descuidou da segurança do dado, mas demos esse tempo para o aspecto cultural, mesmo tendo seguido nos aspectos técnicos.”
Impacto
O nicho de meios de pagamentos, assim como todo o setor financeiro, é historicamente um mercado preocupado com privacidade de dados e controle a acesso de informações, especialmente pela quantidade desafiadora de tentativas de fraudes. Para Adriano Tchen, da Alelo, a disciplina de prevenção a vazamento de dados sempre foi uma realidade, por isso, os prazos da Lei Geral de Proteção de Dados tendem a impactar de forma mais branda o setor.
“A LGPD é complemento a regulamentos que já temos muito fortes, como os do Bacen e as regulações PCI. Ao longo de 2019, desenvolvemos um planejamento forte sobre a legislação. Concluímos as etapas de acesso em meados de 2019 e terminamos o ano com isso já em execução”, explica Adriano.
Sobre os impactos da crise de saúde sobre o planejamento, o CIO explica que prioridades foram revisadas na Alelo, mas o foco ainda é a aderência com a LGPD. “A gente já está sendo cobrado pelos nossos clientes para respeitar aquilo que a lei exige, até porque a gente tem muitos clientes multinacionais, especialmente europeus, em conformidade com a GDPR. De forma geral, a gente não tirou o pé do acelerador, estamos em execução.”
Um mercado que também está se preparando para estar de acordo com a lei ainda em 2020 é o de seguros. “O covid-19 não nos impactou, continuamos focados no projeto com o prazo de agosto”, afirma a CIO Cibele Cardin, da Chubb Seguros.
“Estamos na fase de implantação de ferramentas para suportar os processos da LGPD. Para nós, a mudança de cultura também é importante para podermos manter esses processos após a implementação. Não paramos durante a quarentena, continuamos e estamos focados, apesar das outras demandas que chegam”, explica.
Antecipação
Gustavo Fosse, do Banco do Brasil, conta que a instituição já estava de olho nas mudanças exigidas pela LGPD há bastante tempo, para se adiantar e estar em conformidade quando fosse necessário, uma vez que o setor bancário é um dos que mais possuem dados sensíveis dos usuários.
“Nós no banco, talvez por sorte, começamos a ter contato um pouco antes [com a lei] porque temos agências em Londres, então tínhamos contato com a GDPR. Quando começou a discussão sobre o tema no Brasil, buscamos agência em outros países para entender como a adequação foi feita porque, mesmo tropicalizando a lei, a linha não deixa de ser única”, conta Fosse.
Com a chegada do coronavírus, o banco precisou colocar de lado temporariamente a LGPD para priorizar processos para alocar mais de 33 mil funcionários em modelo de home office. Mais uma vez, o executivo reforçou a necessidade de mudança cultural das instituições para a implementação das exigências da lei . “LGPD mexe na forma de atuação de todos os funcionários. Por isso, trabalhamos nossa cultura semanalmente, com eventos sobre o assunto. Criamos um comitê com tres vice-presidentes e diretores para acompanhar processos e ações sobre a lei, buscando estar em conformidade já no mês de agosto.”
Desafio
“Todos os CIOs têm um desafio hercúleo com a LGPD, por razões muito claras”, diz Marcos Semola, da EY. O executivo destaca a falta de uma autoridade nacional de Proteção de Dados para facilitar a interpretação da lei para as empresas, a fim de que ocorra uma implementação correta.
“O que eu tenho visto de apoio aos clientes é que muitos deles estão polarizados em um grupo que reconhece a lei como oportunidade de produzir confiança. Onde tem confiança, negócios são gerados e se cria valor para o cliente. Porém, a dificuldade de prazo, agregado às zonas cinzas que requerem interpretação, faz com que empresas não procurem uma abordagem horizontal”, explica Marcos.
O executivo diz que as companhias devem se debruçar no aperfeiçoamento das “engrenagens” da organização, considerando a especificidade dos negócios, criando um “motor” de governança e privacidade. Quando a lei entrar em vigor, assim, as corporações estarão preparadas para atenderem demandas específicas sobre a LGPD.
“Para que você possa ter uma resposta satisfatória caso ocorra algum problema, você precisa ter um motor funcionando para ser capaz de receber uma denúncia ou demanda de esclarecimento. É preciso distribuir funções que vão demandar de diversas áreas da empresa pra que, de forma orquestrada, esse motor consiga entregar o que se espera, seja apenas um registro de dados ou responder a um incidente. Estrategicamente, a recomendação é de que mesmo que o prazo seja curto, os CIOs procurem pensar neste motor como um todo, um end-to-end, mesmo que as engrenagens não estejam lubrificadas. É melhor que o processo esteja funcionando de maneira manual do que não ter um processo completamente funcional”, finaliza.