LGPD: a conformidade vai muito além do software

Soluções de mapeamento de dados e estratégias de prevenção de vazamentos ajudam, mas não são o suficiente para garantir que não ocorram incidentes; treinar o fator humano é essencial para garantir compliance.

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no final de 2020, sendo que a Autoridade Nacional de Proteção de Dados (ANPD) ainda dá seus primeiros passos na missão de garantir que a norma seja cumprida por todos. Por mais que ninguém possa sofrer penalidades até agosto deste ano, muitos gestores já não conseguem ter uma boa noite de sono com tamanha preocupação a respeito de como garantir compliance com a lei.

Afinal, só nos primeiros dois meses de 2021, já tivemos uma série de vazamentos de dados que, caso as sanções já estivessem sendo aplicadas, poderiam resultar em multas na casa dos R$ 50 milhões. Houve quem se antecipou às regras e garantiu a adequação o mais rápido possível; quem deixou para a última hora, porém, sofre com o medo de sofrer um incidente cibernético e expor os dados de seus clientes, parceiros ou fornecedores.

Antes de mais nada, é preciso ter muita calma. Com a mídia cada vez mais sedenta por esse tipo de notícia, muitas empresas e escritórios de advocacia — sabendo que as PMEs possuem pouco ou nulo conhecimento sobre segurança da informação — se aproveitaram dessa “demanda natural” para oferecer uma série de soluções e serviços que, embora ajudem, não são o suficiente para garantir conformidade com a norma brasileira.

De fato, existem softwares e plataformas automatizadas que podem ajudar você a mapear e administrar melhor os dados que a sua empresa coleta, armazena e processa. Muitas vezes, seu empreendimento recolhe mais informações pessoais e sensíveis do que é necessário, sendo preciso analisar todo esse fluxo para identificar pontos desnecessários e praticar a chamada “minimização” de coleta.

Criando uma cultura de privacidade

Ao mesmo tempo, o mercado está cheio de soluções milagrosas que prometem impedir um vazamento de dados — como se só houvesse uma única forma desse tipo de incidente ocorrer. São diversos serviços de auditoria automatizada, guias de configuração de servidores na nuvem, plataformas de controle de documentos que impedem a circulação exacerbada de determinadas informações e assim por diante. Mas será que isto é tudo o que você precisa?

O que muitas empresas — especialmente aquelas de pequeno e médio porte — se esquecem é do fator humano. Acima de tudo, para que a LGPD possa realmente se integrar aos seus processos cotidianos, é essencial causar uma mudança cultural que afete todos os departamentos e níveis hierárquicos, do board de diretores até os estagiários e profissionais freelancers.

Isto pode ser alcançado com programas de conscientização. É crucial que toda a sua equipe reconheça os riscos cibernéticos, entenda a importância da privacidade e defina seu cotidiano com a mentalidade de privacy-first. Segurança de dados não é só uma questão de TI, mas sim de postura e de mindset; caso contrário, a simples definição de um novo projeto da equipe de marketing, por exemplo, não seguirá esses preceitos naturalmente.

Isto posto, lembre-se: de nada adianta investir todo o seu orçamento em soluções automatizadas e se esquecer do fator humano. Seus colaboradores são a linha de frente de proteção da sua empresa; treine-os corretamente e eles serão o seu melhor antivírus.