LGPD: por onde iniciar?

Jornada para a adequação à lei de proteção de dados envolve pessoas, processos e depois tecnologia e não o contrário

Com a era digital em pleno favor, controles e programas de compliance se tornarão cada dia mais rigorosos. A Lei Geral de Proteção de Dados (LGPD) veio para tornar esse ambiente mais seguro, mas a sua implementação gerou, e está gerando, grandes desafios. A jornada para a adequação nas empresas está sendo construída aos poucos e merece toda a atenção dos profissionais envolvidos para a sobrevivência e continuidade dos negócios.

Para Longinus Timochenco, CISO e diretor de Governança Corporativa no KaBum, que palestrou no 2º Encontro de LGPD da ANEFAC, no dia 14 de setembro, independente do porte se faz necessário a governança dos dados, para que se possa prover maior transparência de como as informações são utilizadas e por quanto tempo. “O equilíbrio está em partir do princípio que se deve armazenar somente o que for necessário para o negócio e fazer uma boa gestão através de profissionais treinados, processos e tecnologia para a automatização”, diz.

O processo no KaBuM nasceu como uma governança de dados e está sendo tratado com muita seriedade, critério, bom senso para utilização das informações e profissionais altamente qualificados desde DPO (Oficial de proteção de dados), controles internos, compliance, auditoria, jurídico e TI com ações refletidas em todas as áreas de negócio, sem exceção. Entre os desafios, ele cita, as definições legais que ainda estão sofrendo alterações, bem como cultura, profissionais qualificados e ferramentas adequadas. As regras existem para organizar, se faz necessário o equilíbrio com a usabilidade.

O setor varejista e, especialmente o e-commerce, onde a empresa atua, passa por uma grande transformação em seus negócios. A segurança da informação, nesse segmento, é uma área crítica, por isso fortalecê-la é fundamental. Fundado em 2003, o KaBuM foi um dos pioneiros no comércio eletrônico brasileiro e hoje é o maior de tecnologia na América Latina.

No que diz respeito a LGPD, a empresa começou o projeto há dois anos com um trabalho voltado à maturidade em governança na segurança da informação como valor para o negócio, começando pelo diagnóstico que seguiu pelo no nível 1 – caótica, envolvendo orçamento, operação e recursos, 2 – reativa com políticas, processos e organização, 3 – proativa com portfólio de serviços, relacionamento e chargeback, 4 – serviço com alinhamento estratégico, métricas de negócios e gestão de recurso e, por último, 5 – valor com gestão de portfólio, multisourcing e governança.

Também estruturam as políticas de governança, as normas, os processos e os procedimentos para a implementação, assim como conversaram com os funcionários internos, os fornecedores e criaram embaixadores. “A segurança da informação é, e deverá ser cada vez mais daqui para frente, “corporativa”, com envolvimento e responsabilidade diretamente da alta gestão que é quem responde legalmente pela empresa e autoriza o pagamento das contas. A alta gestão não deve transferir a sua responsabilidade, mas empoderar mais as áreas de controles para que elas sejam seus olhos”, explica Timochenco.

A LGPD é um caminho sem volta. Segundo ele, a lei já está acontecendo e as empresas que não aderirem estarão fora do mercado internacional e, muito em breve, do nacional. Com isso, não se pode fazer a implementação na correria, o risco é alto e o investimento também. “É preciso transformar o negócio, fazer com que seja parte. Somente assim as pessoas físicas terão a sensação de segurança necessária para realizar o consentimento da utilização dos seus dados. É fundamental ser seguro e transparente e isso não está apenas relacionado a tecnologia empregada, mas a todo o processo. No KaBuM estruturamos as áreas e equipes com foco total nos controles corporativos e passamos a adotar um ecossistema para melhorar a integração e fidelidade do negócio objetivando tratar controles, reputação, integridade e continuidade”, pondera.

Depois de um período, conseguiram implementar o ecossistema das informações e controle, que resultou na elevação da maturidade, dos controles, da qualidade das informações e da gestão. “Aumentamos a transparência, consequentemente ganhamos maior credibilidade interna e junto aos nossos clientes e ao mercado”, destaca Timochenco.

De acordo com ele, o caminho mais assertivo é iniciar programas desse porte seguindo uma ordem específica: pessoas, processos, tecnologia e depois inteligência. Além de ter ciência que somente tecnologia não resolve e sim automatiza problemas. “Segurança e conformidades é questão de convivência, o mundo está em transição para um “novo estilo de vida digital”, isto não é mais opção e sim necessário para a sobrevivência e continuidade”, adverte.

Agora uma vez por ano, com o governance risk compliance, rodam novamente o diagnóstico, com um software que identifica os acertos e erros. Sem esquecer os processos comunicacionais que devem sempre estarem alinhados e corretos. “Para elevar a maturidade nós aumentamos a padronização nas informações, aderência as normas e processos internos, comprometimento com a visão e missão da organização, adotamos uma comunicação integrada e segura e promovemos a participação em treinamentos, feedbacks e inputs”, avalia Timochenco.

Pensar em tecnologia antes de normas, processos e pessoas, Samara Schuch, sócia-diretora de Cybersecurity & Privacy na KPMG Brasil e que participou do evento, entende que, a empresa não alcançará os objetivos. “A maioria dos problemas que existem quando se começa a implementar a LGDP é porque as pessoas falharam, não cumpriram com as políticas, não respeitaram os procedimentos, não utilizaram o sistema de segurança da informação de forma adequada, não checaram se um parceiro comercial é seguro suficiente e se existem regras de governança que atendem as necessidades”, ressalta.

Por isso, Vitória Bernardi, sócia-diretora de direito digital e compliance na Russel Bedford Brasil, que participou do evento, é muito importante o foco em pessoas e cultura de confiança. “Vejo como um dos maiores desafios dentro das empresas, as pessoas querem o processo fácil e rápido, como por exemplo, instalar um software achando que vai estar tudo resolvido, não vai. A cultura e as pessoas acabam sendo o elo mais fraco nesse processo de implementação da LGPD”, finaliza.

O conteúdo do 2° Encontro de LGPD você confere aqui abaixo, agora o do 1º que trouxe aos participantes como governar efetivamente os riscos corporativos de privacidade, clica aqui.