Impactos da LGPD nas Práticas de Governança
O crescente processo de transformação digital e diruptividade que impactam ambientes de negócios apresenta novos desafios e obrigações aos administradores. E como já é de conhecimento amplo, baseada na regulação europeia de proteção de dados pessoais (GDPR), a lei geral de proteção de dados (LGPD) pessoais já é uma realidade no Brasil.
A não observação de processos e boas práticas de governança da segurança da informação e proteção de dados pessoais por parte das organizações brasileiras, não apenas abalará a imagem corporativa e a confiança de seu mercado, mas também colocará as organizações ao alcance de penalidades legais. Isso pode colocar em descrédito as estruturas de governança e gestão, bem como de seus agentes por negligenciarem as obrigações legais, humanas, tecnológicas e estruturais desta regulação.
Qual é a melhor maneira de permanecer em conformidade com a LGPD?
Além do escopo desta nova lei, há também as consequências de não conformidade. Além de incorrer em multas íngremes e litígios elevados, o risco de não conformidade também inclui a perda de sua base de clientes para a concorrência, caso uma violação de dados atinja sua organização.
A conseqüência de não cumprir a LGPD, ou qualquer regulação de privacidade do gênero, é muito mais do que uma ação judicial ou uma multa pesada, mas uma perda de confiança do mercado.
Após uma companhia ter realizado todo o possível para que suas políticas e procedimentos chegassem à perfeição e declarasse a conformidade com os preceitos da lei, todos os profissionais que trabalharam arduamente para atingir a conformidade com a LGPD ou GDPR têm a missão, não apenas em manter a conformidade ao longo do tempo, mas em saber se eles realmente conseguiram isso, se seu status de conformidade resistiria ao escrutínio, e que relatório eles apresentariam para provar isso.
Uma abordagem integrada é a melhor maneira de se manter em conformidade com a LGPD ou GDPR
Um erro crítico cometido pelas empresas ao decidir como lidar com o GDPR, é encará-lo como um empreendimento ou desafio apenas de TI ou ainda somente de conformidade legal. Sim, os dados parecem pertencer à TI e, sim, é um regulamento para que o Compliance esteja envolvido. Na verdade, os dados de todos os tipos passam por todos os departamentos da organização e a melhor maneira de cumprir tais regulatórios é integrar todos os departamentos no processo de conformidade. E nunca esqueçamos o fator humano, geralmente o elo mais fraco da cadeia.
Vamos pensar mais sobre por que uma abordagem integrada é a melhor. Basicamente, o GDPR e a LGPD são regulamentações muito grandes, então dividi-las em partes pequenas e acionáveis deve ser do interesse de todos. Uma tarefa tão grande nunca deve sobre cair em uma pessoa, departamento ou procedimento.
O compartilhamento de informações mesmo que entre os silos dentro de uma plataforma centralizada reduz drasticamente a quantidade de tempo gasto na obtenção da conformidade. O desejável seria a implementação de uma solução integrada de GRC atualizada para estas regulações. Entendamos que diferentes departamentos geralmente compartilham riscos semelhantes além dos inerentes, portanto em vez de dedicar tempo para projetar dois ou mais controles ou políticas diferentes, podemos projetar um controle centralizado.
Todos os departamentos realmente detêm alguma informação ou procedimento quando se trata de privacidade de dados. Por exemplo, a TI sabe onde os dados são armazenados, mas eles muitas vezes não sabem necessariamente que tipo de dados são. Por outo lado, a área ade negócios pode deter informações inerentes à clientes e mercados em potencial, enquanto o departamento financeiro sabe quais são as informações de faturamento dos clientes atuais.
Portanto adotar uma abordagem integrada é a melhor maneira de cumprir as demandas de regulações como o GDPR e a LGPD, pois reduz drasticamente o tempo de resposta e o esforço necessários para alcançar a conformidade.
Vladimir Bidniuk
Consultor de negócios – RCE IT
