Preparação para LGPD passa pela questão cultural das organizações

CIOs discutem aderência com exigências da legislação e necessidade de mudanças culturais

Author Photo
4:26 pm - 13 de junho de 2020

No último dia 12 de junho, foi publicado no Diário Oficial da União a lei que adia a aplicação das sanções da LGPD para agosto de 2021. Com a pandemia, a entrada em vigor da Lei Geral de Proteção de Dados se tornou motivo de incertezas para empresas de todo o país, de diversos segmentos.

Para debater o tema, participaram do Breakouts no IT Forum@Home Adriano Tchen, CTO da Alelo; Gustavo Fosse, CIO do Banco do Brasil; Lilian Hoffmann, CIO da BP – A Beneficência Portuguesa de São Paulo; Cibele Cardin, CIO da Chubb Seguros, e Marcos Semola, sócio de cibersegurança da EY.

Preparação

O setor de saúde, especialmente, é o mais afetado pela situação atual, uma vez que hoje, a prioridade para o segmento é o combate à pandemia. A CIO da Beneficência Portuguesa, Lilian Hoffmann, falou sobre os desafios da instituição com relação à LGPD. “Até o fim do ano passado, já tínhamos concluído a primeira fase da nossa programação original, já tínhamos elencado nosso plano de ação e estávamos em uma fase de olhar como seria nossa governança”, conta.

Agora, os planos da BP inegavelmente foram alterados para dar prioridade às adaptações causadas pela Covid-19. “Quando a quarentena chegou, a gente procurou, com os processos de postergação, seguir com algumas atividades que não foram impactadas [pela pandemia]. Se as sanções forem acontecer em agosto, a gente não estaria pronto. Não adianta negar que temos mais da metade do caminho para seguir”, diz. “O hospital se voltou para entender uma doença nova, e as pessoas administrativas que estavam focadas nesse tema foram colocadas em home office. Isso não é comum na área de saúde.”

Para ela, um dos principais desafios hoje, na área da saúde, é implementar na cultura das empresas processos e ferramentas que estejam em aderência com a LGPD, tanto quanto adotar novas tecnologias. “Nós seguimos com as etapas que eram passíveis de serem feitas para cumprir com o prazo da LGPD, mas as atividades culturais de informação a gente brecou por enquanto. Ninguém descuidou da segurança do dado, mas demos esse tempo para o aspecto cultural, mesmo tendo seguido nos aspectos técnicos.”

Impacto

O nicho de meios de pagamentos, assim como todo o setor financeiro, é historicamente um mercado preocupado com privacidade de dados e controle a acesso de informações, especialmente pela quantidade desafiadora de tentativas de fraudes. Para Adriano Tchen, da Alelo, a disciplina de prevenção a vazamento de dados sempre foi uma realidade, por isso, os prazos da Lei Geral de Proteção de Dados tendem a impactar de forma mais branda o setor.

“A LGPD é complemento a regulamentos que já temos muito fortes, como os do Bacen e as regulações PCI. Ao longo de 2019, desenvolvemos um planejamento forte sobre a legislação. Concluímos as etapas de acesso em meados de 2019 e terminamos o ano com isso já em execução”, explica Adriano.

Sobre os impactos da crise de saúde sobre o planejamento, o CIO explica que prioridades foram revisadas na Alelo, mas o foco ainda é a aderência com a LGPD. “A gente já está sendo cobrado pelos nossos clientes para respeitar aquilo que a lei exige, até porque a gente tem muitos clientes multinacionais, especialmente europeus, em conformidade com a GDPR. De forma geral, a gente não tirou o pé do acelerador, estamos em execução.

Um mercado que também está se preparando para estar de acordo com a lei ainda em 2020 é o de seguros. “O covid-19 não nos impactou, continuamos focados no projeto com o prazo de agosto”, afirma a CIO Cibele Cardin, da Chubb Seguros.

“Estamos na fase de implantação de ferramentas para suportar os processos da LGPD. Para nós, a mudança de cultura também é importante para podermos manter esses processos após a implementação. Não paramos durante a quarentena, continuamos e estamos focados, apesar das outras demandas que chegam”, explica.

Antecipação

Gustavo Fosse, do Banco do Brasil, conta que a instituição já estava de olho nas mudanças exigidas pela LGPD há bastante tempo, para se adiantar e estar em conformidade quando fosse necessário, uma vez que o setor bancário é um dos que mais possuem dados sensíveis dos usuários.

“Nós no banco, talvez por sorte, começamos a ter contato um pouco antes [com a lei] porque temos agências em Londres, então tínhamos contato com a GDPR. Quando começou a discussão sobre o tema no Brasil, buscamos agência em outros países para entender como a adequação foi feita porque, mesmo tropicalizando a lei, a linha não deixa de ser única”, conta Fosse.

Com a chegada do coronavírus, o banco precisou colocar de lado temporariamente a LGPD para priorizar processos para alocar mais de 33 mil funcionários em modelo de home office. Mais uma vez, o executivo reforçou a necessidade de mudança cultural das instituições para a implementação das exigências da lei . “LGPD mexe na forma de atuação de todos os funcionários. Por isso, trabalhamos nossa cultura semanalmente, com eventos sobre o assunto. Criamos um comitê com tres vice-presidentes e diretores para acompanhar processos e ações sobre a lei, buscando estar em conformidade já no mês de agosto.”

Desafio

“Todos os CIOs têm um desafio hercúleo com a LGPD, por razões muito claras”, diz Marcos Semola, da EY. O executivo destaca a falta de uma autoridade nacional de Proteção de Dados para facilitar a interpretação da lei para as empresas, a fim de que ocorra uma implementação correta.

“O que eu tenho visto de apoio aos clientes é que muitos deles estão polarizados em um grupo que reconhece a lei como oportunidade de produzir confiança. Onde tem confiança, negócios são gerados e se cria valor para o cliente. Porém, a dificuldade de prazo, agregado às zonas cinzas que requerem interpretação, faz com que empresas não procurem uma abordagem horizontal”, explica Marcos.

O executivo diz que as companhias devem se debruçar no aperfeiçoamento das “engrenagens” da organização, considerando a especificidade dos negócios, criando um “motor” de governança e privacidade. Quando a lei entrar em vigor, assim, as corporações estarão preparadas para atenderem demandas específicas sobre a LGPD.

“Para que você possa ter uma resposta satisfatória caso ocorra algum problema, você precisa ter um motor funcionando para ser capaz de receber uma denúncia ou demanda de esclarecimento. É preciso distribuir funções que vão demandar de diversas áreas da empresa pra que, de forma orquestrada, esse motor consiga entregar o que se espera, seja apenas um registro de dados ou responder a um incidente. Estrategicamente, a recomendação é de que mesmo que o prazo seja curto, os CIOs procurem pensar neste motor como um todo, um end-to-end, mesmo que as engrenagens não estejam lubrificadas. É melhor que o processo esteja funcionando de maneira manual do que não ter um processo completamente funcional”, finaliza.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.