23 de agosto de 2022.

Com o monitoramento ativo da Autoridade Nacional de Proteção de Dados (ANPD), a adequação à Lei Geral de Proteção de Dados segue em aceleração no Brasil. No entanto, sua complexidade aponta para o cuidado com que a tarefa deve ser feita. Para ser posta em prática, é necessário seguir uma série de passos, que vão desde o mapeamento dos processos existentes até a manutenção da segurança dos dados – obrigações que muitas empresas não estão preparadas para resolver.

Segundo o mais recente relatório da IBM sobre cibersegurança, 62% das empresas pesquisadas afirmam que não têm equipe suficiente para atender às necessidades de proteção aos dados. Essa lacuna gera a essas organizações uma média de US$ 550 mil (cerca de R$ 2.846) a mais em custos (pela violação) do que as que afirmam ter equipe suficiente.

Segundo estudo da Abes (Associação Brasileira das Empresas de Software), as disposições da LGPD mais difíceis de serem cumpridas pelos representantes do setor são, em primeiro lugar, o acompanhamento do ciclo de vida dos dados para determinar o término do seu tratamento; em segundo, a gestão de terceiros; e em terceiro lugar, mapeamento e sua manutenção.

Para estar em conformidade com as exigências da lei, uma solução tem sido a contratação de Centros de Serviços Compartilhados, especializados na adequação contínua às novas regulamentações de privacidade. “O CSC da LGPD é um pool de funções relacionadas à Lei Geral de Proteção de Dados e à Segurança da Informação. Assim, as empresas podem se dedicar em atividades do negócio em si”, esclarece Alexandre Antabi, fundador da Macher Tecnologia.

A saída pode baratear o custo dessa operação: “O CSC pode ser 100% dedicado ou compartilhado com outras organizações. No caso de compartilhamento, há claramente o ganho de redução de custos enquanto se tem acesso a um time robusto de serviços. O compartilhamento seria ideal para empresas de pequeno e médio porte”, explica.

Para o especialista em TI, segurança e governança da informação, “a adequação [à LGPD] precisa ser minuciosa”. Neste sentido, o profissional pontua que, em um primeiro momento, o foco deve ser a identificação de todos os processos e sistemas que devem passar pela avaliação, sendo as entrevistas com os profissionais da companhia uma estratégia eficaz para que sejam mapeados “todos os departamentos, tratamentos de dados, sistemas, bases de dados e empresas terceirizadas que provêm ou recebem dados do cliente”.

O processo de adequação à LGPD, em algumas etapas

Antabi ressalta a recomendação de um “treinamento de conscientização sobre a LGPD, para que os respondentes compreendam a importância do processo e o que deve ser coberto por estes”. Uma vez que o mapeamento esteja finalizado e as lacunas entre o modelo de tratamento antigo e as recomendações da consultoria estejam identificadas, é gerado um mapa de risco e um relatório da consultoria. Então, é iniciada a etapa da gestão do projeto de correções – quando entra em ação o DPO.

A expressão DPO significa Data Protection Officer. Esse profissional será o “Encarregado da Proteção de Dados Pessoais”, ou, simplesmente “encarregado”, nos termos da LGPD – ou seja, ele é o ponto-focal da privacidade nas empresas, atuando com o monitoramento e com a disseminação da cultura da privacidade de forma consultiva para todos os níveis da organização.

O DPO também deve estar atento aos chamados “dados sensíveis”, como raça, etnia e qualquer informação que possa resultar em discriminação caso seja compartilhada.

Assim, percebe-se o crescimento de demanda pelos serviços de DPO-as-a-Service (ou DPO terceirizado), onde um profissional capacitado auxilia às organizações com as atividades básicas do DPO, com self-assessments, treinamentos, auditorias pontuais de processos (spot-checks), consultorias, gestão de ajustes e de melhoria contínua.

Como explica Antabi, a demanda pelo processo de adequação à LGPD por empresas brasileiras tem sido crescente, sobretudo porque a lei é mandatória para todos os tipos e tamanhos de organizações, com exceções pontuais – como por exemplo, para algumas startups. “Com o amadurecimento do mercado, os contratantes estão passando a demandar a adequação de seus fornecedores [à LGPD], o que movimenta o mercado”, afirma.

O movimento de aumento da adequação à LGPD responde também ao crescimento da preocupação do público com seus dados privados. Segundo registros do Google, 81% das pessoas afirmam estarem mais preocupadas com a forma como as empresas estão utilizando as suas informações. Registro mais recente do Google Trends em agosto aponta um pico de busca pelo termo “segurança online”. Também estão em ascensão a pesquisa por “segurança”, “software” e “informação”.

“Demonstrar uma preocupação com privacidade e proteção de dados é um diferencial competitivo, uma vez que você estará colocando seu cliente em primeiro lugar”, ressalta o fundador da Macher Tecnologia.

