O tema da Privacidade já é discutido há praticamente 10 anos, desde as definições do GDPR (regulamento geral de proteção de dados, da União Europeia). Contudo, a discrepância nos níveis de maturidade em governança de dados (conforme o porte e o setor das companhias), as sucessivas postergações da vigência da Lei e a própria complexidade do tema foram agravados com o triplo desafio de segurança da informação na pandemia – suportar os usuários remotos; mapear os riscos e contramedidas no novo ambiente de trabalho; e prosseguir na adaptação e criação de processos em conformidade às diretrizes de privacidade.

Entre os CIOs e outras lideranças o ocorre é a continuidade da jornada à LGPD. Quem tinha começado não parou, nem os ajustes implicaram maiores comprometimentos de prazo. Em contrapartida, um grande volume de demandas já chega com conceitos mal-entendidos.

No caso de algumas confusões, fica fácil identificar a fonte dos equívocos. Um deles é imaginar que a LGPD se aplicaria de forma “progressiva”, como ocorre com as obrigações tributárias em que a fiscalização foca inicialmente nos grandes contribuintes. Se for para tomar algum precedente, os efeitos do Código de Defesa do Consumidor dizem mais. Não precisa necessariamente haver um megavazamento e uma ação da ANPD (Autoridade Nacional de Proteção de Dados) para a empresa ter problemas. A partir do marco legal, qualquer stake holder (consumidores, funcionários etc.) pode provocar o judiciário, por qualquer motivo tipificado na Lei.

Do ponto de vista de TI, gestão e processos, outro equívoco é encarar a jornada de compliance à LGPD como “projeto”. É claro que as iniciativas precisam de escopo e prazo. Mas a abordagem é muito diferente das de compliance a instruções normativas do Banco Central, às regras do PCI e a outras regulações referentes a conjuntos mais restrito de dados e sistemas. Os princípios de transparência, proteção de dados e privacy by design implicam mudanças nos processos, na cultura e, evidentemente, na gestão da informação que redefinem a forma de trabalhar daqui para frente.

Sinergia, para não faltar fôlego
Se já era previsível uma bolha de demanda por profissionais de segurança com a premência da LGPD, a pandemia acentuou. A sobrecarga se estende aos times de RH e consultores jurídicos, com a agenda pesada de compliance trabalhista e gestão de times, assim como ao pessoal de vendas, e-commerce e comunicação. De forma geral, as soluções tecnológicas de segurança da informação foram desenhadas para funcionar no “perímetro” que existia nas organizações pré-pandemia. As equipes técnicas de cibersegurança não as únicas a serem desafiadas. Os programas de conscientização, os workflows, os códigos de conduta e diversas outras políticas são afetadas.

As implementações com maior sucesso e retorno ocorrem entre os clientes que abordam a LGPD dentro de uma estratégia geral de GRC (governança, risco e compliance). Em resumo, são líderes que não veem privacidade e proteção de dados como “hot topics”, mas como “coisas da vida”.

A transformação realmente é muito ampla. Entre as tarefas mais evidentes, proteger as bases de dados, revisar os termos de autorização e consentimento, enxugar os procedimentos (para evitar a coleta alheia à finalidade) e outras providências gerais são imprescindíveis. Mas não faltam pequenos problemas, que nem sempre estão nos manuais e tutoriais. Até porque algumas ponderações não são óbvias. Por exemplo, nos relacionamentos B2B, as políticas de segurança podem impor compartilhar dados de funcionários (como prestadores de serviço onsite), o que deve ser devidamente acordado para se evitar violações trabalhistas e civis.

Dado protegido é dado liberado para a invenção
Os prédios mais altos não se tornaram viáveis com a invenção do elevador. Foi com o freio do elevador. À medida que a privacidade e os direitos dos titulares dos dados se incorporarem na forma de cogitar qualquer serviço, processo ou aplicação, a informação já chega sem toxinas para alimentar as operações de negócio.

As tecnologias e transformações empresariais fomentadas pela LGPD podem ser a base da invenção de produtos de valor. Há precedentes. Por exemplo, a criptografia assimétrica é a base da Certificação Digital, das criptomoedas e outras criações de grande impacto.

No mundo, ao mesmo tempo em que se discute os riscos políticos e civis do big data, temos consciência que precisamos cada vez mais de estatística, informação compartilhada e dados abertos. Possivelmente, não estaríamos vacinados sem o trabalho de cientistas de dados, programadores de drivers e outros profissionais de TI que viraram noites para isso.

Na indústria financeira, o estímulo dos reguladores ao Open Finance também muda a lógica do que se pode expor e o que se deve proteger. Conforme as noções de “dados pessoais”, “dados pessoalmente identificáveis”, anonimização e outros fundamentos são entendidos, alternativas como masking, tokenização e outros recursos das mesmas plataformas de proteção de dados podem ser aplicados em novos modelos de pesquisas, inteligência analítica e customização.

Rodrigo Larrabure – Diretor de tecnologia da CYLK

Matéria original publicada pela Channel 360º: https://www.channel360.com.br/transformacoes-lgpd-novos-produtos/