Estamos vivenciando a mais importante mudança em proteção de dados das últimas décadas, em que as empresas terão que se adaptar a uma nova lei que as impactará como poucas normas antes fizeram. A Lei Geral de Proteção de Dados – LGPD (lei 13.709/18), sancionada em 13/8/18, não impactará apenas as companhias com sede no Brasil, mas também aquelas que possuem sede no exterior, mas operam no país.
Para quem ainda não a conhece, a LGPD regulamenta o tratamento/fluxo de dados pessoais por instituições. Esse marco normativo estabelece as diretrizes de coleta, armazenamento, compartilhamento e gestão de dados pessoais por parte das organizações.
Atentas a esse novo desafio que surge, empresas de tecnologia passaram a trabalhar como parte determinante dessa cadeia, com o papel de implementar processos dentro das companhias para atender as exigências de adequação e conformidade à nova lei. Mas se engana quem pensa que o trabalho é apenas consultivo. Integrar soluções de segurança para enquadrar parceiros à LGPD é muito mais complexo e exige que especialistas no tema implementem uma área de negócios voltada às soluções de governança de dados e segurança. Afinal, torna-se mandatório que se identifique os processos de tratamento junto às áreas relevantes, que se mapeie os fluxos de dados e os principais riscos, obrigações e responsabilidades relacionadas e finalmente que se estabeleça a criticidade de cada processo de tratamento/fluxo de dados, definindo quais processos serão abordados e que se consolide as conclusões de um plano de adequação e conformidade à lei.
Por isso, mais do que simplesmente adotar medidas pontuais de segurança da informação e estabelecer regras, é necessário que as empresas realizem um diagnóstico completo da necessidade de implementação de processos. A partir desta etapa, deve-se criar um roteiro das atividades de forma a adequá-las ao novo cenário. Descobrir os gaps entre o que a estrutura do negócio faz atualmente e as necessidades que surgem à luz do sancionamento da LGPD não é uma tarefa simples e requer conhecimento para identificar problemas e experiência para executar as ações preventivas que levam à ideação para solucionar o que não está em conformidade com a lei vigente. Afinal, mais do que apenas aplicar medidas, os processos ligados à adequação e conformidade das instituições à LGPD são uma jornada que passa também pelo treinamento de profissionais e engajamento dos agentes dessa transformação.
É então que se apresenta a importância da figura do DPO (Data Protection Officer) no processo de adequação e conformidade e não há como fugir: sem um responsável pelo canal de comunicação entre a empresa, os titulares das informações e a ANPD, não há como se adaptar às novas regras, que entram em vigor em agosto de 2020. As punições financeiras para quem não se adequar a esse novo modelo, inclusive, podem ser severas.
É de responsabilidade do DPO criar normas e procedimentos adequados à lei, além de disseminar a cultura de proteção de dados na empresa. Ou seja, o DPO será fundamental nas decisões estratégicas das companhias e terá autonomia para atuar em todas as atividades que envolvam qualquer tipo de tratamento/fluxo de dados e contato direto com a direção da corporação para atuar de modo a adequar a empresa às regras de conformidade.
Mas a implementação desse novo cargo pode ser complexa. Isso porque, por não ter expertise no tema e não ser o core business da maior parte das empresas, falhas devem ocorrer caso não haja especialistas envolvidos no treinamento, desenvolvimento profissional do DPO e posterior implementação das ações. As dificuldades para aplicar as medidas sem o apoio desses especialistas podem ser duas: ou a empresa conhece a lei, mas tem dificuldades para concretizar; ou entende os processos de implementação das medidas, mas não conhece a lei por completo.
O trabalho de analytics, segurança da informação e capacitação de profissionais feito pela DXC – empresa independente de serviços de TI end-to-end do mundo – por exemplo, é determinante para criar roteiros dos processos adequados e apropriados perante a norma e garantir que os profissionais envolvidos na linha de frente dos processos de tratamento/fluxo de dados na adequação e conformidade à Lei seja em segurança da informação, ou em áreas de suporte e TI, não sejam impactados por esses processos e sanções.
O perfil desse DPO é provavelmente o mais híbrido das empresas. Isso porque o perfil esperado é o de um especialista em segurança da informação, legislação e gestor para garantir que as organizações tornem a proteção de dados mais do que um projeto, mas que ela faça parte de sua essência e cotidiano. Se adequar às novas regras levará as empresas a um novo estágio tecnológico e certamente será determinante para garantir seu sucesso.
Raymundo Vasconcelos é CTO (Chief Technology Officer) na DXC Technology para a América Latina
