Artigos

Os 5 erros mais comuns na adequação à LGPD

A sua empresa está cometendo algum deles?


Com a aproximação do prazo para cobrança da aplicação da Lei Geral de Proteção de Dados, eleva-se a busca por entendimento do tema, e consequentemente aumenta também a procura por soluções que minimizem os custos da execução deste projeto (sim, considero um projeto pois possui as características de um projeto, porém depois transforma-se em um programa, para que ocorra sua continuidade na organização). Desta forma, se faz necessário que as organizações entendam o que de fato gostariam de receber das consultorias, evitando assim possíveis frustrações no desenvolvimento da adequação. 

Cito abaixo 5 equívocos que no dia a dia em relação a LGPD:

1 - Achar que a LGPD será só mais uma regulamentação que não irá pegar. 

Muitas lideranças, quando tomam conhecimento da Lei Geral de Proteção de Dados, não dão a devida importância ao assunto por inúmeras razões. Após o término dos eventos e cursos em que participo, os ouvintes comentam que seus gestores entregam a regulamentação impressa ou então a enviam por e-mail e pedem para alguém da TI ou do Jurídico interpretar e inserir em uma planilha as ações necessárias para o atendimento a Lei. Ao agirem desta maneira, entendo que não compreenderam de fato as profundas alterações que precisam ser executadas na organização. 

O maior desafio dos profissionais que buscam compreender os impactos da LGPD, é transmitir a relevância do tema para a alta direção. Como geralmente "santo de casa não faz milagre", uma sugestão é trazer alguém de fora que tenha propriedade no assunto para que possa transmitir a mensagem sem tom de terrorismo, mas com a devida importância que o tema merece. Sugiro fortemente, a busca por uma consultoria que esteja tratando deste tema e que comprove conhecimento do assunto, pois a tendência é que a consultoria, consiga ser mais enfática trazendo cenários reais, que conquiste a atenção dos tomadores de decisão, sem terrorismos, mas dando a devida relevância ao tema.

 

2 - Focar somente no atendimento a execução técnica e não mudar a cultura

Quando precisamos mudar algum comportamento nocivo em nossa vida, sabemos que muitas vezes não é fácil, da mesma forma, quando falamos em mudança de cultura organizacional, a dificuldade aumenta, pois trata-se de uma alteração coletiva. Logo, tão importante quanto focar na execução técnica para adequação a LGPD, é empreender esforços na disseminação do assunto para todos os colaboradores e terceiros, mas aqui entra outro detalhe, é necessário realizar a abordagem correta, pois não adianta sair falando da lei, das obrigações e multas, sem abordar primeiramente o impacto da exposição dos dados na vida do colaborador, mostrando o que é possível fazer com um punhado de informações nas mãos erradas. Só depois de conseguir engajar a pessoa, inicia-se o trabalho de ensinar novas maneiras de lidar com dados pessoais e sensíveis no contexto organizacional, tratando agora com o colaborador. 

 

3 - Implementar os requisitos da LGPD somente nos "principais" departamentos da organização

Quando a organização percebe que temas como classificação da informação, treinamento e conscientização, correlacionamento de informações, gestão de identidades, etc, são temas imprescindíveis para adequação a regulamentação, vejo que algumas organizações optam por implementar a LGPD somente nos "principais" departamentos da empresa. Com certeza, se faz necessário a execução de um assessment, para análise das áreas com maior risco de vazamento de dados para que  estas sejam priorizadas, quanto a isso não há dúvidas, porém dar como implementada a LGPD apenas nestes departamentos, é pôr em elevado nível de risco todo o projeto, pois este tema deve ser tratado com a devida a atenção por toda a organização.

 

4 - Não investir em Gestão de Identidades

Poderia citar outras ferramentas necessárias para implementação da regulamentação, porém focarei na necessidade de estabelecer um processo de gestão de identidades na organização. 

Diversas pesquisas demonstram que o maior risco relacionado ao vazamento de dados, é o interno, ou seja, é o vazamento que se origina dentro da organização, proposital ou não, este cenário é o mais frequente quando comparado a ataques externos.

Por este motivo, há a necessidade de iniciar na organização que ainda não possui, um projeto de gestão de identidades, onde será possível através da confecção de matrizes de acesso, definir quem tem acesso ao que, além da definição do nível deste acesso (leitura/escrita).

Com a correta implementação da gestão de identidades, será possível reduzir significativamente acessos indevidos, também ficará mais claro para a organização, quem possui a acesso a quais dados, proporcionando um maior controle no tratamento das informações a nível organizacional.

 

5 - Contratar uma consultoria sem entender exatamente qual será o entregável

A Lei Geral de Proteção de Dados ainda é um tema que não está na pauta da maioria das organizações, apesar de constatarmos um crescente interesse sobre o assunto, devido ao prazo para início da sua aplicação estar se aproximando. 

Frequentemente recebo perguntas sobre qual deve ser o resultado do trabalho de uma consultoria quando contratada para implementar a LGPD. O que geralmente respondo é que depende de qual entregável a organização almeja, por exemplo, se a organização quer apenas ter uma "temperatura" de como ela está em relação aos requisitos da lei, o entregável poderá ser um material baseado em entrevistas e avaliação de documentos da organização, sem um aprofundamento maior. Poderia me estender muito mais aqui, mas finalizo ressaltando que ao buscar apoio especializado, faça o tema de casa e pesquise antes a respeito, para que assim a organização tenha condições de informar de maneira clara, o que espera receber como resultado deste trabalho.


Paulo Rogério Dias de Oliveira Head de Privacidade e Segurança da Informação Head de Privacidade e Segurança da Informação | Cyber Security | DPO | LGPD | GDPR | Gestão de Riscos | ISO 27001

SEE ALSO ...