A segurança com que os nossos dados são adquiridos e armazenados é uma das questões fundamentais da nossa sociedade por vivermos na era do digital. Na prática, tudo está guardado no universo virtual, em nuvem ou armazenamento físico local, sejam fotos, métodos de pagamento, documentos ou outras informações pessoais e sigilosas, o que tem despertado o interesse de pessoas mal-intencionadas a quebrar barreiras tecnológicas para se apoderarem desses dados.
Há pouco tempo, o Facebook declarou que aproximadamente 50 milhões de contas haviam sido hackeadas, reforçando a percepção de vulnerabilidade e falta de controle e gestão sobre as informações dos seus clientes.
Nesse cenário, foi criada no Brasil no fim de 2018 a Lei Geral de Proteção de dados (LGPD), impactando diretamente as organizações e cobrando uma mudança cultural de todas as empresas. A lei trata, basicamente, da regulamentação para as atividades de tratamento de dados pessoais no Brasil. Coloca o indivíduo no papel central de controle dos seus dados nos sistemas das empresas, oferecendo a ele a decisão de expor ou não essas informações.
A precursora da LGPD foi a General Data Protection Regulation (GDPR), lei instituída na Europa, publicada em 2016, para proteger os dados pessoais de cidadãos europeus em plataformas digitais.
Agora, aqui no Brasil as corporações de todos os segmentos se preparam para a adequação às premissas da lei brasileira, que entrará em vigor em agosto de 2020. O que tem que ser percebido é que as áreas de TI das empresas estão se movendo e buscando liderar o assunto, e, ao mesmo tempo, envolver outras áreas internas que são chaves nos processos de tratamento e uso de dados pessoais de clientes, parceiros de negócios e funcionários.
Para evitar potenciais impasses com a aplicação da LGPD, uma boa estratégia de dados envolve o desenvolvimento de uma jornada que passa pelos seguintes tópicos:
- Apoio consultivo: entendimento da situação em que a empresa se encontra, analisando o cenário sob a luz da nova lei;
- Mapeamento de dados: descoberta da aderência dos dados à LGPD, estruturando e qualificando os dados por tipo, volume, risco e outros critérios;
- Analisar os impactos do tratamento de dados: avaliar os impactos dos dados tratados, mapeando o ciclo de vida das informações recebidas nos processos de negócio da empresa, levando em consideração as barreiras para atingir os objetivos propostos. Determinar, ainda, os padrões necessários para adequar as informações de acordo com a LGPD, além de sugerir medidas de proteção de dados e contingenciamento em casos de violação;
- Prática: implementação dos procedimentos de tratamento de dados, no que se refere a processos e tecnologia;
- Acompanhamento: monitoramento, seguindo diretrizes da Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos relacionados.
Ser vanguardista perante esta nova regulamentação exige não somente critérios técnicos, mas tato para lidar com consequências abstratas que permeiam questões jurídicas. As melhores escolhas corporativas estarão pautadas no equilíbrio entre teoria e prática, levando sempre em consideração a visão completa de cada caso.
É preciso ter em mente que a informação passou a ser a principal moeda de troca na economia digital, com imenso valor aos dados pessoais. Acredito que as prioridades da implantação da Lei de dados devem ser a segurança, utilizando e aproveitando, principalmente, o compliance para atingir a máxima eficiência de governança de dados.
Wiliam Faria, head de Privacidade de Dados e Data Protection Officer na GFT Brasil.