Os desafios da Lei Geral de Proteção de Dados na economia digital
News Article -- Outubro 10, 2019
Raymundo Vasconcelos, CTO na DXC Technology para a América Latina, escreveu um artigo sobre a Lei Geral de Proteção de Dados para a Security Report. Confira o conteúdo abaixo.
Estamos vivenciando a mais importante mudança em proteção de dados das últimas décadas, em que as empresas terão que se adaptar a uma nova lei que as impactará como poucas normas antes fizeram. A Lei Geral de Proteção de Dados – LGPD (lei 13.709/18), sancionada em 13/08/18, não impactará apenas as companhias com sede no Brasil, mas também aquelas que possuem sede no exterior, mas operam no país.
Para quem ainda não a conhece, a LGPD regulamenta o tratamento/fluxo de dados pessoais por instituições. Esse marco normativo estabelece as diretrizes de coleta, armazenamento, compartilhamento e gestão de dados pessoais por parte das organizações.
Atentas a esse novo desafio que surge, empresas de tecnologia passaram a trabalhar como parte determinante dessa cadeia, com o papel de implementar processos dentro das companhias para atender as exigências de adequação e conformidade à nova lei. Mas o trabalho não é apenas consultivo. Integrar soluções de segurança para enquadrar parceiros à LGPD é muito mais complexo e exige que especialistas no tema implementem uma área de negócios voltada às soluções de governança de dados e segurança. Afinal, torna-se mandatório que se identifique os processos de tratamento junto às áreas relevantes, que se mapeie os fluxos de dados e os principais riscos, obrigações e responsabilidades relacionadas. Além disso, é preciso estabelecer a criticidade de cada processo de tratamento/fluxo de dados, definindo quais serão abordados e consolidados em conclusões de um plano de adequação e conformidade à lei.
Por isso, mais do que simplesmente adotar medidas pontuais de segurança da informação e estabelecer regras, é necessário que as empresas realizem um diagnóstico completo da necessidade de implementação de processos. A partir desta etapa, deve-se criar um roteiro das atividades de forma a adequá-las ao novo cenário. Descobrir os gaps entre o que a estrutura do negócio faz atualmente e as necessidades que surgem à luz do sancionamento da LGPD não é uma tarefa simples e requer conhecimento para identificar problemas e experiência para executar as ações preventivas que levam à ideação para solucionar o que não está em conformidade com a lei vigente. Afinal, mais do que apenas aplicar medidas, os processos ligados à adequação e conformidade das instituições à LGPD são uma jornada que passa também pelo treinamento de profissionais e engajamento dos agentes dessa transformação.
É então que se apresenta a importância da figura do DPO (Data Protection Officer) no processo de adequação e conformidade: sem um responsável pelo canal de comunicação entre a empresa, os titulares das informações e a ANPD, não há como se adaptar às novas regras, que entram em vigor em agosto de 2020. As punições financeiras para quem não se adequar a esse novo modelo, inclusive, podem ser severas.
É de responsabilidade do DPO criar normas e procedimentos adequados à lei, além de disseminar a cultura de proteção de dados na empresa. Ou seja, o DPO será fundamental nas decisões estratégicas das companhias e terá autonomia para atuar em todas as atividades que envolvam qualquer tipo de tratamento/fluxo de dados e contato direto com a direção da corporação para atuar de modo a adequar a empresa às regras de conformidade.
A implementação desse novo cargo pode ser complexa. Isso porque, por não ter expertise no tema e não ser o core business da maior parte das empresas, falhas devem ocorrer caso não haja especialistas envolvidos no treinamento, desenvolvimento profissional do DPO e posterior implementação das ações. As dificuldades para aplicar as medidas sem o apoio desses especialistas podem ser duas: ou a empresa conhece a lei, mas tem dificuldades para concretizar; ou entende os processos de implementação das medidas, mas não conhece a lei por completo.
O trabalho de analytics, segurança da informação e capacitação de profissionais feito pela DXC, por exemplo, é determinante para criar roteiros dos processos adequados e apropriados perante a norma e garantir que os profissionais envolvidos na linha de frente não sejam impactados por esses processos e sanções.
O perfil desse DPO é provavelmente o mais híbrido das empresas. Já que o perfil esperado é o de um especialista em segurança da informação, legislação e gestor com o objetivo de assegurar que as organizações tornem a proteção de dados uma parte de sua essência e cotidiano. Se adequar às novas regras levará as empresas a um novo estágio tecnológico e certamente será determinante para alcançar seu sucesso.