Porque sua alta gestão não está preocupada com GDPR/LGPD ?

Semana passada recebi um artigo sobre a LGPD de um amigo, empresário com mais de 20 anos no ramo de software para pequenas prefeituras e respondi com a pergunta: “E quando você vai fazer algo a respeito ?”.

Ele me devolveu a provocação com a seguinte resposta:

Quando os clientes começarem a pedir,

O que só ocorrerá quando os Tribunais de contas começarem a cobrar dos clientes,

O que só ocorrerá quando o Ministério Público começar a cobrar dos tribunais,

Quando os concorrentes começarem a usar,

Quando começarmos a perder clientes por não ter…Isto é, quando voltarmos a acreditar em Papai Noel.

Mas, pode ser que nosso principal fornecedor de tecnologia resolva implementar um diferencial em nosso produto e, então, possamos sair na frente.

Mas, estou já velho para este tipo de esperança.”

Ri muito quando li a resposta dele, à altura da minha “cutucada”. E percebi que ao longo de quase 100 (cem !) apresentações que fiz sobre a GDDPR/LGPD em empresas e eventos, a maioria dos profissionais ligados à TI, SI, Jurídico, Compliance e Governança tem se comovido e motivado a fazer algo sobre o assunto.

 

Mas pouquíssimos diretores, empresários e donos de empresas se sentiram dispostos a fazer algo, praticamente replicando a mensagem que meu amigo me enviou.

Se esse é o seu caso, não se desespere: existem situações onde o próprio mercado irá forçar as empresas a se adequarem às Leis, por bem ou por mal. Quer saber onde ?

  1. Por força de conformidade às GDPR/LGPD: um dos pontos fortes das Leis é que uma empresa que está sujeita às Leis só pode contratar um fornecedor ou se aliar a outra organização que esteja em conformidade com a Lei.

Não haverá uma “força de trabalho” fiscalizando empresas, para analisar o grau de maturidade no atendimento às Leis. Não precisa, já que a contratação de um fornecedor que está sujeito à GDPR/LDPG exige evidências. Se sua empresa está sujeita às Leis como Controladora ou Operadora de Dados e precisa contratar um prestador de serviço de computação em nuvem, consequentemente este fornecedor deve provar que também está em conformidade, ou você automaticamente deixará de estar.

2. Caso ocorra um incidente de SI ou vazamento de informações, sua empresa será visitada pelo Ministério Público ou pelo Órgão que deve ser criado ao longo de 2019, para avaliar se houve negligência ou incompetência.

Mesmo sem uma Lei específica na época que sofreu vazamento de informações de clientes, a Netshoes pagou uma multa de R$ 2 milhões. A partir de agora, a LGPD obriga as empresas a tornar público o incidente. E quando isso ocorrer, você deve provar que havia implementado todas as boas práticas que as duas Leis exigem e que os melhores padrões de Segurança de Informação (ISO, CobIT, ITIL e outros) indicam. Ou seja: sua empresa pode não acreditar em “Papai Noel”, mas precisa saber que no caso de um incidente, ter ou não ter os controles necessários poderá fazer a diferença entre uma multa de “milhares” ou de “milhões”.

3. A Lei começa a vigorar em janeiro de 2019. E passará a exigir que as organizações possuam os controles exigidos pela Lei, a partir de fevereiro de 2020. Vamos esperar, então.

Tanto a GDPR quanto a LGPD possuem 7 itens descritos na ISO 22.702: Política de Segurança, Controle de Acesso, Classificação de Informação, Gestão formal de Backup, Plano de Continuidade de Negócios, Gestão de Riscos em TI e Pentest. Por isso existe uma vertente que considera o assunto de implementacão destas Leis, responsabilidade de TI. A grande questão é: se a sua empresa já possui todos esses mecanismos implementados e em conformidade com os requisitos das Leis, já existem evidências que reduzem o risco de pesadas multas. Mas se não as tiver: será que há tempo suficiente ?

4. Nosso Jurídico já revisou os contratos e elaborou os termos de consentimento. Podemos ficar tranquilos.

Efetivamente existem requisitos de adequação jurídicos no processo de conformidade, tanto ao GDPR quanto na LGPD. Porém não é suficiente para atendimento a todos os pontos requeridos, tampouco atende aos mecanismos de controle exigidos, Algumas semana atrás, li uma postagem que dizia que, na Europa, a parte mais difícil (e cara) está sendo na capacitação e treinamento dos funcionários envolvidos na COLETA das informações (que obviamento não é TI, nem o Jurídico).

5. “Mas estou velho para esse tipo…”.

Pode até ser. Porém as Leis responsabilizam a alta gestão PESSOALMENTE e eventualmente a idade pode não ser um item a ser considerado no caso de um incidente em que sua organização seja envolvida. Será que os diretores ou o Conselho da sua Organização já foram informados disso ?

Durante os estudos da GDPR e posteriormene da LGPD, identificamos 150 macroatividades e cerca de 600 procedimentos, necessários para uma empresa com baixa maturidade em Segurança de Informação e Privacidade, se adequar a todos os requisitos exigidos pelas Leis.

Importante é definir os conceitos de Confidencialidade e Privacidade, tão próximos e ao mesmo tempo tão distintos, uma vez que se assemelham. Porém a confusão pode levar a um cenário de “falso positivo” que aumenta o risco de incidentes e promove uma sensação de segurança que pode não corresponder à realidade.

E, por último, um conselho profissional: envolva toda organização antes, durante e após o processo de conformidade. A implementação dos requisitos das Leis de Proteção à Privacidade pode (e deve) ser conduzido por um Projeto, mas não pode ser restrito a apenas um ramo do conhecimento ou área da empresa. Trata-se de um assunto holístico, cuja maior dificuldade será sua replicação em toda estrutura.

Parece difícil ? Tanto quanto foi, na década de 90, a implementação dos CQT (Círculos de Qualidade Total), que hoje se tornaram parte de todos os processos das empresas preocupadas com Governança e Mercado, mais que a preocupação com multas…

Gostou do artigo? 

Então faça o download do nosso ebook gratuito explicando melhor a lgpd e seus impactos.  >>>>>>



Leave a Reply

Leave a Reply

Required fields are marked*