Passados quatro anos desde os primeiros passos da LGPD, ainda se vê grande dificuldade de incorporação dos novos padrões de gestão de dados, tanto no poder público quanto na iniciativa privada. Segundo estudo publicado pela Logicalis, apenas 36% das companhias consultadas contam com aplicação plena dos valores da lei em suas atividades, com uma grande margem sem os processos devidamente estabelecidos.
Na visão de Waldyr Lima Jr., Presidente do Núcleo de LGPD no DATASUS, a segurança das informações depende de posturas novas das instituições do mercado, especialmente com a definição de processos claros e transparentes, com especialistas envolvidos no tema e no treinamento de toda a área de negócios, enrijecendo o conhecimento do elo mais fraco.
“Essa conformidade depende muito do tamanho da empresa e dos recursos tecnológicos aplicados por ela. Mas neste momento, eu vejo menos a Lei Geral como um processo de adequação, mas como um serviço cíclico, que sempre volta a monitorar vulnerabilidades, novos atributos inseridos no sistema, novos equipamentos de hardware, sem avançar sobre uma cultura de data protection”, explicou Lima em entrevista à Security Report.
Diante dessa dificuldade, as corporações têm visto a necessidade de se criar grupos de trabalho ou mesmo estabelecer profissionais especializados nos avanços da conformidade com a LGPD. Dessa forma, é possível estabelecer culturas de gerenciamento e governança sobre as informações mais pessoais e sensíveis.
Lima aponta como importante a manutenção de uma área específica para cuidar do assunto. Lembrando da existência da antiga Assessoria Especial de Proteção de Dados, ligada ao Ministério da Saúde, o executivo sugere como retomar grupos como esse visando encabeçar treinamentos e cooperações entre o core da instituição e o setor de Segurança.
“Quanto mais profissionais cuidando dessa conformidade, melhor. Isso vai permitir inclusive a transmissão de conhecimentos e decisões dentro de um grupo mais específico da proteção, permitindo ter mais ciência de quando compartilhar as informações ou como proteger. Isso precisa ser priorizado como estratégico nas empresas e no poder público”, afirmou ele.
LGPD apoiando a Cibersegurança
Ainda assim, o período curto de vigência da norma já começa a dar frutos importantes. Hoje, órgãos públicos como o próprio DATASUS exigem conhecimento claro dos funcionários sobre as políticas de Segurança antes de começar a utilizar as tecnologias corporativas. Além disso, a figura do encarregado de dados que gerencie os controles protetivos assumiu um novo grau de importância.
Lima comenta que outros avanços precisarão ser contemplados tanto pela Lei Geral quanto pela ANPD. Nesse sentido, aproximar o cuidado com informações às atividades da Cibersegurança será um passo importante nos próximos anos.
“A ANPD terá o seu momento de descer um pouco mais para os andares técnicos e apoiar mais a Cibersegurança. Ainda estamos no ciclo infinito de enfrentar os mesmos problemas, com escassez de orçamento, falta de pessoas, entre outros. É interessante saber o que a ANPD pode fazer nesses aspectos da proteção de dados, indo além de fiscalizar e penalizar”, afirmou ele.
Esse contexto movimentou Waldyr Lima a produzir o livro “LGPD: como contratar um operador introduzindo a lei” tratando das necessidades e processos para se agregar cada vez mais os princípios da LGPD no contexto corporativo. Segundo o especialista, faltam orientações básicas às equipes de cyber sobre como desenvolver a proteção de informações internamente.
“Hoje, a ANPD se debruçou muito pouco sobre guias orientativos em relação ao que as empresas e poder público devem levar em conta ao contratar uma solução específica. É necessário entender quais são as exigências básicas de garantia da proteção de dados dos usuários. A proposta do livro era apoiar essa necessidade sem necessariamente inventar nada novo, apenas considerando o que já existe de orientação e marco regulatório a respeito”, encerra Lima.
