Maior erro das empresas tem sido lidar com a LGPD de forma isolada, alerta analista da TGT Consult
Responsabilizar somente uma área pode sacrificar a qualidade de implementação e expor as companhias a riscos sérios de segurança, explica especialista João Carlo Mauro
Quase um ano após a sanção da Lei Geral de Proteção de Dados (LGPD) o que permanece é a evidente falta de direcionamento de grande parte das empresas a despeito das melhores formas e práticas para se adequarem à regulamentação. As empresas cometem o erro de tratar a lei como algo sob responsabilidade apenas do departamento jurídico, de TI, ou ainda como uma missão apenas para consultorias especializadas, quando na verdade, trata-se de um trabalho multidisciplinar. É o que defende o sênior advisor da TGT Consult, João Carlo Mauro.
“O que vemos é uma lacuna muito grande em trabalhos que focaram parcialmente essas áreas em projetos de LGPD. A visão de que um profissional de apenas uma área é suficiente tende a sacrificar a qualidade do resultado do trabalho de avaliação ou implementação, podendo expor a empresa por não cobrir os seus processos adequadamente”, explica o especialista.
Segundo o especialista, um erro comum das empresas é entender que as alterações trazidas com a LGPD podem ser adiadas. Isso expõe a companhia a riscos sérios de segurança. “São riscos ligados a vazamento e roubo de informações que afetam a imagem e a credibilidade da empresa, muitas vezes comprometendo inclusive o valor da ação da empresa. Isso sem mencionar os prejuízos financeiros e operacionais nos casos de a autoridade impor sanções e multas decorrentes da aplicação da lei em caso de incidentes de segurança com dados pessoais”.
A partir de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) – órgão criado para a regulamentação da lei – terá autonomia para aplicar sanções administrativas de até R$50 milhões por infrações referentes à LGPD. Tal medida tornou a necessidade de se adequar urgente e evidenciou a dessemelhança das organizações em relação ao entendimento de como devem agir. “Há empresas em diferentes fases, como as PMEs (Pequenas e Médias Empresas) que precisam ter mais apoio para se adequarem e possuem um capital baixo para investimento; e as companhias multinacionais que já possuem mais estrutura e metodologia”, comenta João Mauro.
O especialista diz ainda que as companhias devem, sim, contar com uma consultoria que disponha de expertises e que possa trazer sinergia nas ações, compreendendo que não basta ajustar os contratos, conhecer as bases legais para o uso dos dados pessoais, ou apenas assumir que esse é um problema de TI. O trabalho de adequação vai muito além disso.
Próximos passos
O maior desafio fica no gerenciamento após a implementação. Segundo Omar Tabach, sócio-diretor da TGT Consult, o diagnóstico é apenas o início do processo. “Algumas empresas encaram que após a auditoria o trabalho de LGPD está concluído, quando, na verdade, esse é o começo de uma adequação de processos, pessoas, sistemas e cultura”, ressalta.
De acordo com Tabach, após o processo de diagnóstico e implementação da LGPD na empresa, a adequação da companhia deve ser tratada em 6 dimensões:
- Um modelo firme de governança que envolva o Encarregado de Dados (ou Data Protection Officer – DPO) e a gestão da privacidade de dados na companhia;
- Revisão de políticas e procedimento;
- Um programa extensivo de treinamento e aculturamento em toda a companhia, adaptado para todos os funcionários e em diferentes níveis de compreensão;
- Revisão de contratos com terceiros, fornecedores e clientes;
- Revisão de sistemas e processos para adequação aos novos procedimentos;
- Adequação dos processos de segurança cibernética e da informação.
“As empresas têm de repensar a forma como os processos são executados e investir em um programa contínuo de treinamento e educação dos colaboradores. Isso é necessário para que todos compreendam a importância da privacidade dos dados e a forma mais adequada de tratar as informações privadas no dia a dia”, finaliza Tabach.