Pelo menos, até agora não vi ninguém fora do Jurídico e da TI contar…
Desde sua aprovação, a LGPD tem provocado na maioria das empresas a mesma reação de um paciente que acabou de receber o diagnóstico de uma doença terminal: nega sua existência, repetindo várias vezes que vai esperar ver se a Lei “pega”.
Outras, mais realistas ou que atuam em mercados mais regulados, como bancos e financeiras, começam a se mexer, cobrando informações mais concretas de seu Jurídico (afinal, é uma Lei !) ou de sua área de Tecnologia de Informação (privacidade não é assunto de Segurança ?).
E a partir desse ponto, começa a confusão, com organizações criando comitês para cuidar do assunto, como se fossem “tratar da doença”.
Sem um ponto focal, um responsável capaz de integrar informações e conectar as diversas áreas envolvidas no processo de adequação da empresa aos requisitos da Lei, comete dois erros de julgamento: primeiro, achando que realmente está tratando do assunto, quando apenas criou um núcleo de discussão com uma função, sem responsabilidade ou autonomia. Segundo, perdendo um tempo precioso, achando que um comitê será mais rápido que uma pessoa, que a própria Lei exige que seja definida.
O estudo da Teoria das Decisões nos diz que quando tomamos uma decisão errada, a probabilidade das seguintes ser errada é maior.
E nesse caso, a tendência se confirma.
Ao confundir o conceito de privacidade com confidencialidade, as empresas tem delegado a missão de conduzir esse assunto às áreas de tecnologia e jurídico, com algumas exceções para Compliance, quando existe.
Mesmo assim, Compliance nunca foi criada para assuntos de privacidade !
Porém, privacidade não é o mesmo que confidencialidade, uma das vertentes de SI (Segurança de Informação), que também visa a Integridade e Disponibilidade da Informação.
E esse equívoco é fator crítico de insucesso.
Se você foi encarregado da missão de avaliar a implementação da LGPD na sua organização e não sabe por onde começar, primeiro se familiarize com os conceitos dos papéis (encarregado de dados, controlador de dados, processador de dados e sujeito dos dados).
Depois, se pergunte: qual é (ou quais são) as áreas que REALMENTE utilizam dados e informações ?
Dependendo do ramo em que sua organização atue, essa resposta vai variar. Mas o que NUNCA vai mudar é o fato de que a área de TI e o Jurídico raramente serão os proprietários destas informações (a não ser que sua empresa seja uma empresa destes ramos).
E por isso, é fundamental que as áreas de negócios que CAPTURAM essas informações sejam envolvidas.
Senão, seu Projeto provavelmente não vai terminar até Fevereiro de 2020, quando a Lei começa a ser exigida das empresas.
Em tempo: se nesse meio tempo a sua empresa sofrer um vazamento ou incidente que divulgue informações de terceiros sob sua responsabilidade, lembre-se que o tamanho da multa vai depender das evidências criadas para mostrar ao Ministério Público (e posteriormente ao Órgão Fiscalizador, quando for criado), que o fato não foi fruto de negligência ou incompetência.
Mas a multa é certa, bem como a responsabilização pessoal da Alta Gestão.
Leave a Reply