Nos últimos dois anos, as organizações no Brasil tiveram que se adequar a diversas normas e leis, incluindo a LGPD. A maioria delas acredita estar em conformidade com os requisitos legais. Será?
A privacidade e a proteção de dados são mais do que um conjunto de leis. Os modelos de negócios e as práticas de governança devem ser incorporados pelas empresas como disciplina e padrões éticos às suas operações. Isso garantiria o cumprimento, ao menos, da maioria das cláusulas legais.
Parte das organizações creem que já estão preparadas para reagir às demandas relacionadas à lei, mas a má notícia é que isto não significa conformidade. Ao contrário. Estão bem longe de atenderem os requisitos de modelo de governança que realmente garanta privacidade e proteção de dados aos seus titulares de dados (controlador) ou aos titulares de dados de seus clientes (operador).
Cumprir a lei é uma atitude reativa – interpreta-se a lei e desenvolve-se políticas, procedimentos e avisos legais – visando atender às possíveis demandas relacionadas. No entanto, estar conforme a um modelo de governança não é só obter o selo e parar por aí. É garantir que as normas se tornem premissas em todas as suas operações. Todos os dias, na maior parte dos casos de uso conhecidos.
Para muitas empresas, cumprir exclusivamente a lei foi a primeira escolha. Entretanto, no fim do dia, a lei não será efetivamente seguida se não forem capazes de fornecer as evidências necessárias. E as providências que tomaram visaram na maioria dos casos, remediar ou proteger-se de situações de risco, mas não as tratar proativamente, por desenho, de modo a garantir um padrão demonstrável. A resiliência é proativa. E sem uma arquitetura resiliente, não há como evidenciar a conformidade.
A remediação sempre acaba fazendo parte do plano de ação de qualquer processo de adequação, mas o futuro sempre exigirá projetos que incorporem esses requisitos de privacidade e proteção de dados como padrões nos processos e tecnologias a serem adaptados, desenvolvidos ou adquiridos. É o chamado conceito de privacidade por desenho (Privacy by Design – PbD).
Cedo ou tarde, essas empresas terão que entender que não é só um selo. Não é só obrigação, mas responsabilidade e consciência. Quem não leva a sério, certamente vai se deparar um dia com alguma situação e se perguntar: o que faço agora? E isso já começou a acontecer. A constatação é imediata. Instrumentos puramente legais não garantem segurança da informação, não garantem a privacidade e não resistem a um ataque cibernético ou roubo de dados. Sem isso, não há cumprimento à lei.
Somente uma arquitetura robusta, resiliente por desenho em segurança da informação e privacidade será capaz de fornecer os instrumentos de controle adequados à legislação.
Quem disse que o processo de conformidade com a LGPD exige investimentos e não tem linha de chegada está certíssimo. Bem-vindos ao próximo ciclo.
Enio Klein, influenciador e especialista em vendas, experiência do cliente e ambientes colaborativos com foco na melhoria do desempenho das empresas a partir do trabalho em equipe e colaboração. CEo da Doxa Advisers e professor de Pós-Graduação.
