Segurança da informação e LGPD: combinação perfeita

Trâmite após trâmite até a sanção presidencial de Michel Temer, em 14 de agosto de 2018, um ano se passou. E, a um ano de entrar em vigor, a LGPD (Lei Geral de Proteção de Dados) ainda deixa empresários cheios de dúvidas. Embora todas as instituições tenham desfrutado de uma margem de dois anos para entender o que é a LGPD e buscar conformidade, apenas 15% do empresariado declara estar pronto (será?) para garantir o tratamento correto de dados pessoais abordados pela nova lei (oriunda do PL nº 53 de 2018), segundo pesquisa da Serasa Experian divulgada neste mês.

Vamos partir do princípio? A LGPD é a lei que regula como os dados dos brasileiros devem ser tratados por qualquer entidade, seja ela pública ou privada, que armazene e manipule tais informações. E que dados são esses? São todos aqueles capazes de identificar uma pessoa, sejam eles isolados, como o CPF, ou ainda um conjunto, como a parcial de um nome mais o endereço, por exemplo.

E, realmente, assim como aponta o levantamento da Serasa Experian, a maioria absoluta do mundo corporativo nacional passa longe de estar preparada para colocar em prática os controles e processos necessários, segundo a propositura da lei. Será uma adaptação para as entidades que já tem governança implantada e algum tipo de conformidade e um choque para aquelas que não têm.

Por mais que já se tenham disponíveis conteúdos de qualidade, além de pessoas bem preparadas para conduzir o processo de conformidade e funções já criadas para tal – como o DPO (Data Protection Officer), por exemplo – a importância desse tema, ainda assim, é negligenciada. O principal problema ainda é a falta, por parte dos gestores, de um entendimento mais claro do que é a LGPD, suas mudanças e possíveis consequências. Sim, estamos falando de risco e a aceitação, ou não, do mesmo após conhecimento do tema. Não há dúvida de que, na primeira fase de vigência, o dilema do gestor será se o esforço para conformidade compensa ou não.

O processo de conformidade é composto por um conjunto de ações e precisa começar “para ontem”. A tecnologia é empregada para acelerar a adoção das adequações à Lei, facilitando a implantação de controles e revisão de procedimentos. Porém, as partes mais importantes são as pessoas e processos. Iniciar o entendimento, criar grupos de trabalho (ou comitês), envolver diretoria, jurídico, RH e, claro, a área de tecnologia, que é a fiel depositária dos dados e tem grande responsabilidade no armazenamento e processamento dos mesmos.

Além disso, as empresas precisam ficar atentas na tratativa com clientes, consumidores, pessoas físicas em geral. Afinal, entidades de todas as naturezas deverão informar, de forma clara e direta – sem condicionar a prestação do serviço à opção, caso não sejam dados legalmente obrigatórios – quais informações serão coletadas e o objetivo, permitindo ao cidadão a escolha de aceitar ou não.

É necessário que o gestor comece a pensar enquanto pessoa física: “como eu gostaria que os meus dados pessoais fossem tratados?”. Daí, revela-se o fato primordial: a grande mudança no que tange à segurança da informação e, consequentemente, das pessoas, começa a virar realidade.

Para aquelas empresas e gestores com alto apetite de risco, é importante informar que estão sujeitos a multa de até 2% do faturamento do ano anterior ou até R$ 50 milhões, além de todas as possibilidades jurídicas previstas em textos legislativos pertinentes. Além, ainda, dos prejuízos de imagem, participação de mercado, valoração de ações e infindáveis possibilidades de perda de dinheiro pós eventuais incidentes. Essa roleta russa não é um modelo aceitável de gestão.

A LGPD chega para guarnecer o cidadão brasileiro de direitos que o bom senso já regia. E, agora, com força de lei, aumentar a maturidade em GRC (Governança, Risco e Conformidade) das entidades, criar um novo ecossistema de serviços e soluções e mostrar que nós, brasileiros, também estamos levando a sério a privacidade, um dos bens mais valiosos do mundo atual.

*Por Ricardo Becker, empresário da área de tecnologia, nascido na cidade de Cuiabá, formado pela Universidade Federal de Mato Grosso em Ciências da Computação, especialista em Continuidade de Negócios e Recuperação de Desastres e CEO do Grupo Becker. Na carreira, desenvolveu centenas de projetos dentro e fora do Brasil, acumula 25 anos de experiência, dezenas de certificações oficiais, entre elas o CBCP pelo Disaster Recovery Institute International (DRI) e prêmios como Canais Referência, Top of Mind, MPE Brasil e The Winner.