Como utilizar a LGPD com o objetivo de conformidade e inovação?

O mês de agosto inaugurou um momento até então esperado e, ao mesmo tempo, temido pelo mercado brasileiro. Isso porque o período marca o início da vigência das sanções administrativas da Lei Geral de Proteção de Dados (LGPD), ou seja, da atuação verdadeira e legítima da autoridade pública sobre o assunto.

De acordo com consultor de gestão de riscos, Marco Aurélio, é necessário que os experts de prateleira deixem de comprar a ideia fast-food de que a LGPD é uma legislação de inúmeras proibições e com ausência de instrumentos práticos para resolução de problemas. Outra idéia do setor dos enlatados é a percepção de que a Autoridade Nacional de Proteção de Dados (ANPD) atuará com extrema paciência, esperando inerte que as empresas adotem práticas de conformidade.

“Os extremos são produtos vencidos e que precisam ser prontamente descartados. A urgente necessidade deste momento é a de desconstruir mitos sobre a LGPD e a proteção de dados que foram até então amplamente propagados”, destaca Marco.

A digitalização de cadeias de abastecimento, a transição das operações do meio físico para o virtual e a intensa percepção do uso de tecnologias orientadas à ótica Data Driven fez com que o uso e a importância dos dados nas operações de negócio tomassem proporções de necessidade e velocidade até então inimagináveis.

O consultor destaca que a LGPD segue o exemplo e a estrutura da maior parte das legislações de privacidade ao trazer suas regras com o sentido de garantir a adoção de novas práticas de governança, segurança cibernética e organização do sistema de interceptação e coleta massiva de dados. “A postura do operador de compliance desta Lei deve ser a de interpretar seus preceitos sob a égide da neutralidade tecnológica e um sistema global de boas práticas”, cita.

Com esse fundamento, não se deve pensar na proibição em si quando há a oportunidade de entender as novas tecnologias e ferramentas que podem ser aplicadas ao negócio para que aquilo que já se realiza possa ser feito com mais segurança e eficiência. As atuações do CISO (Chief Information Security Officer), do CIO (Chief Information Officer) e do DPO (Data Protection Officer) se encontram justamente neste trabalho.

Para Marco, o diálogo interoperacional entre estes gerenciadores da Segurança da Informação e de Privacidade da empresa deve sempre possuir o objetivo de construir soluções e processos novos que sejam capazes de continuar gerando receitas, ao mesmo tempo que analisa o ambiente em que a atividade está inserida para minimizar riscos, mitigar vulnerabilidades e adotar os recursos tecnológicos e procedimentos que garantirão a segurança.

Sob o aspecto da privacidade, neste campo, a preocupação deve ser adequar o processo para que ele colete o mínimo possível de dados e atinja com maior eficiência os objetivos pretendidos pela finalidade desenvolvida na análise de riscos. A Lei deve, portanto, ser um motor de criatividade e possíveis inovações no modelo de como a atividade é desenvolvida.

A organização do suitability pelas instituições financeiras segue modelo de abordagem criativa apresentado. “O processo para verificar a adequação de um cliente ao portfólio de investimentos coleta um agrupamento de dados que irá gerar novas informações com relação ao perfil, apetite de risco e tolerância de perdas. A atividade é altamente regulamentada e necessária para minimizar as perdas e melhorar o nível de personalização da relação entre cliente e instituição financeira”, comenta.

Outro exemplo que Marco destaca, é a atividade que alguns varejistas utilizam de coleta de dados pessoais para obtenção de perfil individualizado de consumo. Com essa personalização, o titular receberia as comunicações de ofertas com base no seu potencial interesse individual.

O trade-off, neste caso, é extremamente positivo para as duas partes, pois dentre os inúmeros benefícios que podemos citar está a realização de uma relação comercial com maior pessoalidade e ganho de potencial de compra. Novamente, a preocupação para esta atividade deve ser sempre com aspectos dos meios de segurança da informação aplicados e das condutas de minimização e aderência de finalidade na coleta.

Para levantar as fragilidades e riscos das atividades da empresa, Marco afirma que é imprescindível que o grupo “DPO, CIO e CISO” possua como principal roadmap de atuação o trabalho conjunto em criar um planejamento de governança para promover uma cultura de segurança em que a proibição e a punição deem lugar ao espaço de flexibilidade, criatividade e adesão às novas tecnologias. Tudo para garantir o equilíbrio proposto entre segurança, privacidade e geração de receitas.

Estimativas da Verizon, em seu Relatório Data Breah Investigations Report, de 2020, apontam que 17% de todas as violações de dados que ocorreram em 2020 foram causadas por conta de erro humano ou comportamentos inadequados, como a utilização de dados reais em ambientes de desenvolvimento ou o armazenamento acidental de dados confidenciais em ambientes públicos ou abertos. Esse cenário pode chegar a custar bilhões para uma empresa, pois a estimativa média de 2020 da IBM sobre o custo médio de um vazamento de dados foi de 4,24 milhões de dólares por incidente, um aumento significativo de 10% com relação à estimativa do ano anterior.