LGPD: especialista em sistemas de gestão e certificações fala sobre os impactos nas organizações

A lei 13.709 conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) veio com o objetivo de aumentar a responsabilidade das empresas sobre a forma como lidam com informações pessoais, evitando abusos e o uso dos dados para fins não autorizados. Assim toda empresa que colete, processe, armazene ou transmita dados pessoais e sensíveis deve adotar medidas cuidadosas e reforçadas de governança para não sofrer as consequências da lei.

Para falar mais sobre o tema, entrevistamos o especialista em sistemas de gestão e certificações, Neifer França.

 

Neifer França Diretor da QMS Certification Services (Americas), Auditor Líder nas normas de sistemas de gestão. Membro de grupos técnicos da ABNT, ISO e QMS Internacional. Especialista em sistemas de gestão e certificações.

 

 

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Qual o seu principal objetivo?

Alinhada às principais legislações de proteção de dados pessoais do mundo, como a GDPR europeia, a LGPD visa garantir às pessoas naturais a plena titularidade sobre seus dados pessoais, prevenindo o uso indevido por empresas ou outras pessoas. Sem uma legislação que defina um marco legal, informações pessoais podem ser usadas de forma a expor ou discriminar indivíduos, em muitos casos, com o objetivo de obter lucro. Em um mundo cada vez mais digital, direitos sobre seus dados são direitos sobre sua própria vida.

Qual o cenário no Brasil quanto à Segurança das Informações no meio corporativo?

Comparando a Segurança da Informação nos processos de auditoria no Brasil e exterior, é possível perceber que as práticas adotadas nas grandes
corporações são similares e baseadas em melhores práticas. O nível de conscientização das empresas também é semelhante, embora seja parecido
também em quanto é diverso. Historicamente, países europeus tem uma
preocupação com a questão da privacidade em si mais pronunciada, até porque a GDPR passou a vigorar há mais tempo. Já os EUA tem uma preocupação maior com riscos corporativos. É importante considerar que o cenário da Segurança e Privacidade da Informação está evoluindo muito rapidamente, tanto pelo crescimento das demandas sociais como pela própria inovação. Este é um fenômeno mundial. Contudo, empresas brasileiras de pequeno e médio porte encontram como desafio adicional o custo no Brasil, tanto no que se refere a contratação de profissionais, já que a competição pelos talentos é global, como na redução dos investimentos em recursos tecnológicos. O nível de conscientização entre as empresas varia bastante, tanto no Brasil quanto no exterior, mas a escassez de pessoas e recursos é menor nos países desenvolvidos.

Com base na sua experiência, quais são os principais problemas que você encontrou nas empresas em relação à Segurança da Informação?

Empresas em processo de certificação, em geral, já lidaram com o principal problema, a conscientização em relação aos riscos e possíveis impactos da
materialização destes riscos para a organização. Embora este processo de conscientização das empresas esteja evoluindo em ritmo acelerado, uma parte expressiva das empresas ainda não desenvolveu esta percepção.
Outro desafio é acompanhar o ritmo acelerado da evolução tecnológica, regulatória e conceitual e a complexidade inerente às disciplinas relacionadas.

Você acha que as empresas estão preparadas o suficiente para a LGPD? O que falta?

Há uma longa jornada pela frente. As empresas que estão atuando efetivamente no preparo para a LGPD estão ainda bastante focadas nos aspectos jurídicos. Contudo, esta preparação significa uma atuação ainda mais complexa e ampla do ponto de vista gerencial e tecnológico. Vale destacar que a ANPD (Autoridade Nacional de Proteção de Dados) foi recém-criada e as regulamentações específicas e sanções, bem como a jurisprudência, ainda estão em fase embrionária. Lei, práticas, tecnologia e sociedade terão que evoluir em conjunto.

Quais áreas da empresa são impactadas pela LGPD?

Potencialmente, todas. Da portaria ao call center, do marketing às finanças, do jurídico ao TI. A LGPD impõe às empresas um nível de governança sobre os dados para o qual a grande maioria das empresas não está adaptada. Há uma grande mudança cultural em curso.

Quais são as principais competências requeridas para a função de DPO e como um profissional pode desenvolvê-las?

O DPO é um profissional de nível executivo, multidisciplinar, que precisa conciliar competências regulatórias, de governança e tecnológicas, bem
como ter condição de atuar com independência e imparcialidade próximo ao nível estratégico da organização. A combinação de especialização acadêmica e treinamentos profissionais são o caminho para o desenvolvimento destas competências.

Dada a forma como as empresas lidam com os dados pessoais, o que elas precisam fazer para se adequar à LGPD?

A forma mais direta de preparar a empresa para a LGPD é através do desenvolvimento e implantação de um sistema de gestão da privacidade da informação, como o padronizado pelas normas ISO/IEC 27001 e ISO/IEC 27701. O primeiro passo para uma empresa iniciante no assunto é investir em conhecimento para as posições tática e estratégica sobre o assunto.

Além da LGPD, que outras normas e regulamentações podem ajudar as empresas com temas relacionados à proteção de dados?

As normas da família ISO/IEC 27001 são a principal referência. A ISO/IEC 27701 trata especificamente da privacidade de dados pessoais. As boas práticas de segurança da informação estão, em geral, alinhadas com estas
normas.

Como você acredita que conceitos como big data e inteligência artificial podem contribuir com a segurança dos dados?

Já contribuem. As ameaças e vulnerabilidades podem ser identificadas e respondidas a partir do aprendizado colaborativo em nível global.
Ferramentas tecnológicas de vanguarda efetivamente se utilizam de regressões estatísticas e aprendizado de máquina para mitigar os riscos e responder às ameaças relacionadas à segurança da informação.

Quais são suas expectativas sobre o futuro da privacidade de dados?

A percepção da privacidade de dados e dos direitos dos titulares dos dados pessoais tende a conquistar a mesma relevância dos demais direitos conquistados pela sociedade. Para as empresas, dados serão o mais valioso ativo administrado. Em um futuro próximo, as empresas serão avaliadas, incluindo nisto seu valor de mercado, principalmente pelo valor intrínseco do conjunto de ativos de informação administrados e dos processos e tecnologias para a administração destes ativos. De certa forma, isto já está ocorrendo.

    Juliana Silva

    Autor

    Juliana Silva

    Assistente de Comunicação da SoftExpert, Juliana Silva é formada em Jornalismo com cinco anos de atuação nas áreas de Assessoria de Imprensa e Comunicação Corporativa.

    Receba conteúdo gratuito em seu e-mail!

    Assine nossa Newsletter e receba materiais sobre as melhores práticas em gestão produzidos por especialistas.

    Ao clicar no botão abaixo, você confirma que leu e aceita nossa Política de Privacidade.