Privacy-first: a conformidade com a LGPD vai muito além

Mais do que a adoção de softwares e soluções automatizadas, as empresas precisam entender que, para garantir compliance com a lei, é necessário adotar uma mentalidade que envolve processos e metodologias para garantir a privacidade do consumidor

A Lei Geral de Proteção de Dados (LGPD) já está aí e em breve as empresas que descumprirem com suas normas poderão sofrer graves sanções, incluindo multas pesadas pela não-conformidade com suas regras. No desespero por garantir compliance com a legislação, muitas empresas — especialmente as de pequeno e médio porte — recorrem às soluções “prontas” e “milagrosas” oferecidas no mercado, que vão pouco além de automatizar tarefas como mapeamento de dados e gestão de consentimento.

Claro, esse tipo de solução tem seus méritos, mas acreditar piamente que um simples software lhe garantirá proteção jurídica é uma mentalidade inocente. A LGPD não vem para simplesmente distribuir multas e penalizar vazamentos de dados, mas sim para garantir que todo empreendimento saiba respeitar o direito fundamental do cidadão à privacidade, à intimidade e à vida privada. Por isso, mais do que adotar um software ou uma solução, é crucial adotar uma mentalidade “privacy-first”.

Isso significa pensar na proteção dos dados do cliente desde o início — ao rascunhar um produto ou serviço, é crucial pensar em quais informações serão coletadas e se elas são realmente importantes para o exercício de seu core business. A minimização da coleta é uma prática que vem ganhando adeptos e se baseia em reduzir, ao máximo possível, a quantidade de dados pessoais recolhidos de sua base. Trata-se de algo bem mais plausível e seguro do que a anonimização, por exemplo.

Definir processos também é importante. Às vezes, um determinado departamento da empresa pode usar um software por conta própria — o tão temido shadow IT — e estar coletando informações que fogem do mapeamento. Dessa forma, um incidente em tal plataforma não-homologada pode causar dores de cabeça para a empresa como um todo; eis a importância de um monitoramento constante para garantir que esse tipo de incidente não ocorra.

E, é claro, a cultura de respeitar a privacidade do usuário acima de tudo deve ser algo perpetuado em toda a companhia, do board de diretores aos cargos operacionais. Isso pode ser atingido por um programa de conscientização, mas o encarregado de dados (data protection officer ou DPO) pode ajudar nessa missão. O importante é garantir que toda a empresa esteja alinhada dentro desse princípio; caso contrário, solução ou software algum será o suficiente para atingir a conformidade.