Ao contrário do que se achava em um primeiro momento, a Lei Geral de Proteção de Dados Pessoais (LGPD) está trazendo para as empresas e pessoas envolvidas uma grande chance de mudança cultural que irá, sem sombra de dúvidas, melhorar em muito o dia a dia das organizações e das pessoas.
Quando se trata de um assunto como leis, no primeiro momento, vem em mente logo as punições. É importante aqui uma reflexão em relação a isso. Leis não são criadas para punir ninguém. Se vivêssemos em um ambiente onde a ética fosse regra básica, tudo seria um paraíso. Mas, infelizmente, não é bem assim, não é mesmo? Assim surgem regras para lembrar que as pessoas devem, ao menos, viver como se fossem éticos.
Pode-se analisar este fato pela óptica de pais no momento crucial de suas vidas, educar seus filhos. Você leitor poderia pensar: – Mas como assim? Qual a relação de uma coisa com outra?
Simples! Qual o pai ou mãe que quer ser duro com seus filhos? Quais querem dar penalidades duras a seus filhos? Porém, em alguns casos, é necessário mostrar aos filhos que, caso andem “fora da linha”, eles serão penalizados para entenderem que estão errados. Isso faz parte da educação, mesmo que às vezes muito dolorido para pais e filhos, faz parte de uma boa educação. Assim, as penalidades servem, neste momento, como parte de uma construção de cidadão digno de viver em sociedade.
Pois bem, voltando a nosso tema, a legislação existe também neste sentido. Não são criadas leis para que se apliquem as penas que com elas vêm definidas. Mas deixam claro uma coisa: faça o que está escrito ou deverá cumprir uma penalidade para entender que está errado.
E onde entra a LGPD neste contexto?
Ao analisar lei e com calma o que deve ser feito para estar em compliance com ela, é possível notar a oportunidade, para as pessoas naturais (físicas) e jurídicas, de se implantar na prática o que já existia em outras normas e legislações mas eram, até então, deixadas de lado por uma falta de tempo, descuido, desconhecimento, dentre outros fatores do dia a dia. Todos os gestores aprendem nos bancos de escola que devem planejar, analisar e conhecerem bem o negócio e o dia a dia da organização para planejarem melhor e buscar melhor desempenho. Porém na prática acompanhamos um fato interessante. “Ninguém tem tempo para planejar, mas todos tem tempo para fazer duas vezes”. O que acaba saindo mais caro.
A LGPD, visa então educar aqueles gestores que insistem em achar que investir em segurança de informação é custo e não benefício. É importante entender urgente que deve-se proteger o que tem de mais valioso em suas organizações, a informação. E agora com um detalhe que era obvio, mas algumas empresas insistiam e não ver, é preciso respeitar a privacidade das pessoas. Assunto este discutido a séculos no mundo todo. Já existiam normas e legislações que falavam de privacidade (ex: Constituição Federal, Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet), mas não como agora.
A LGPD está trazendo uma grande chance das empresas começarem a fazer o que já deveriam ser feito há mais tempo. Organizar o negócio para atuar no mercado de forma planejada, segura, conhecendo os riscos do negócio, como funciona na prática processos e as pessoas envolvidas. Sim, pois para se ter uma boa segurança de dados pessoais (assunto específico da LGPD) faz-s necessário proteger informação como um todo. Dados pessoais são apenas mais uma classificação dentro de um projeto robusto e realmente seguro.
Pode-se dividir esta implantação em 4 etapas: Gestão, Segurança da Informação, Jurídica e de tecnologia. É importante destacar que nenhuma delas funcionará de forma isolada. É impossível somente uma pessoa deter todo o conhecimento necessário para tal. Uma equipe multidisciplinar deverá estar envolvida. No primeiro momento é importante rever processos. Conhecer a fundo como as coisas funcionam (ou deveriam funcionar) na organização. Desta forma é possível alinhar os procedimentos e informação ao negócio da empresa. Deve-se então conhecer e alinhar os processos às normas de segurança da informação. O profissional de segurança saberá entender o fluxo da informação dentro da empresa e redesenhar os processos sob a óptica da segurança. Tudo isso deverá também estar alinhado a área jurídica. Estes trabalho levará fatalmente a uma revisão de contratos, criação (ou revisão) de normas internas no intuito da empresa possuir um embasamento jurídico robusto que a proteja de um possível incidente de violação de informações. Por fim, mas não menos importante, as ferramentas de tecnologias. Mas é preciso entender que elas devem ser escolhidas e adequadas à política de segurança que está sendo traçada na empresa. Os sistema terão que se adaptarem, às ferramentas de segurança devem atender aos objetivos traçados. A informação é o mais importante, não o contrário.
Enfim, caso este projeto seja feito de forma coerente, os gestores das organizações terão em mãos ferramentas que não imaginavam ter. Ou até se imaginavam, não implantavam pelos problemas já citados anteriormente.
A oportunidade está aí. A irresponsabilidade agora tem um preço, e poderá ser alto e proporcional ao que foi feito, ou melhor ao que não foi feito para proteger os dados pessoais. O investimento em um projeto robusto faz-se necessário. Mas sem acreditar em ferramentas milagrosas, pois é um processo longo, que envolve profissionais competentes em várias áreas de conhecimento. Se feito da forma correta, a empresa terá sossego para atuar com a segurança necessária e poderá criar até mesmo um diferencial competitivo interessante.
Reflita! Pense bem no momento da mudança. Mudar é difícil, mas muitas vezes necessário. Mas já que a mudança veio como obrigação legal, faça como deve ser feito e mude para melhor!
Autor: Cláudio Pessoa
