Nossa, esse é mais um tema sobre o qual tenho medo de falar, pois envolve advogados. Advogados geralmente não aceitam muitas críticas. Mas vamos então direto ao assunto.
Com a chegada da LGPD (Lei Geral de Proteção de Dados), o Brasil voltou os olhos para os dados pessoais, e com isso um monte de gente que não faz ideia do assunto está dando opinião e se intitulando especialista.
Se você está por aí falando que a LGPD irá mudar o mercado, irá mudar os hábitos do consumidores, irá mudar como as empresas trabalham, anunciando aos quatro cantos as aplicações de multas milionárias, entre outras coisas alarmantes, sinto lhe informar que este é um mundo de fantasias e alucinações. A LGPD é sim, sem dúvida, um marco na legislação brasileira, que dará poder ao cidadão sobre seus dados pessoais que podem estar espalhados em diversas empresas mas, nem de longe é o cataclismo apregoado por alguns advogados e empresas de consultoria. Vou explicar melhor.
A segurança da informação é um tema estudado, implementado e discutido a muito tempo. Não seria nem um pouco leviano dizer, por exemplo, que uma das primeiras ações de garantia de autenticidade de uma informação foi o famoso selo real, onde os reis gravavam o símbolo do seu anel (que geralmente continham o desenho do brasão real) em cera, e o utilizavam para selar as cartas reais.
Precisamos ser mais realistas e menos alarmistas com relação a LGPD. Grandes e organizadas empresas já possuem processos e áreas para cuidar dos principais temas relacionados à segurança da informação:
- Gestão de riscos;
- Gestão da segurança da informação;
- Gestão da continuidade de negócio;
- Gestão de tecnologia;
Genericamente falando, essas disciplinas cuidam de cada aspecto da segurança da informação. Sendo assim, a LGPD só está trazendo mais alguns processos e controles que anteriormente eram agrupados muitas vezes como gestão de dados. Então vamos nos ater aos fatos e itens que já eram “pré-requisitos” e foram negligenciados:
- Grande empresa: Se você é uma grande empresa e não possui os controles da ISO27000, você tem um problema muito maior que a LGPD;
- Empresa processadora de cartões: Se sua empresa faz processamento de cartão e não faz ideia do que é PCI, você tem um problema muito maior que a LGPD;
- Empresa com ações na bolsa americana e seus prestadores de serviço: Se você tem ações nas bolsas do USA e não tem os controles da SOX, você tem um problema muito maior que a LGPD;
Quem trabalha com segurança da informação ou convive nesse meio à muitos anos consegue identificar um padrão muito claro nos “novos profissionais de segurança” que estão tentando surfar a nova onda LGPD. Vejo muitos profissionais de segurança da informação que não fazem ideia de como calcular o valor de um ativo, dando soluções mirabolantes, onde o controle se torna mais caro que o próprio ativo. Se você iniciou sua carreira de segurança da informação apenas com uma certificação de DPO, sinto dizer, mas acredito que começou errado.
Mas, como nem tudo é polêmica, se eu pudesse destacar somente um fator preponderante que a LGPD trouxe para a segurança da informação sem dúvida seria a sinergia entre jurídico, especialistas de segurança e governança da informação. Cada uma dessas instâncias atuava de forma “independente” dentro das empresas e a LGPD obrigou todas elas a trabalharem em conjunto para atender uma série de requisitos obrigatórios em lei.
Depois de alguns meses entendendo a LGPD e analisando os processos corporativos de grandes empresas, pude identificar dois gaps extremamente difíceis de resolver:
- Identificação de dados pessoais: Essa classificação nunca foi “padrão” nos sistemas de informação das empresas, logo, dar o tratamento correto a eles depende de uma correta identificação e classificação, que demanda tempo e esforço.
- Delay na atualização de processos: A lei permite que o proprietário dos dados pessoais solicite a exclusão de seus dados e isso deveria ser algo simples e corriqueiro, mas não em uma grande empresa, pois seus dados podem estar espalhados em diversas bases de dados, processos e áreas e, com um agravante, não estão centralizados.
A LGPD é um assunto rico e possui diversas nuances, mas, o recado aqui é: Vamos ser mais realistas e menos alarmistas. Vamos focar no real intuito da lei e dar aos donos dos dados pessoais o devido respeito e importância.
Por fim, essa é só minha opinião.
