O tal argumento da multa de 50 milhões, além de ser usado na maior parte das vezes como um discurso diferente da sanção da LGPD, convence muito pouco. Histórias de horror servem para chamar atenção mas não costumam levar a ações efetivas.

Empresários, empreendedores, executivos e investidores são movidos pelas oportunidades e ganhos, com a devida gestão de riscos. A definição de risco na ISO 31000 é "Risco é o efeito da incerteza nos objetivos", e pode ser positivo ou negativo.

Risco é o efeito da incerteza nos objetivos

O profissional de proteção de dados, compliance, segurança, gestão de riscos e outras áreas de controle não precisa ser somente portador de má noticia, ele pode estar alinhado com os objetivos da organização e também apresentar as oportunidades advindas da conformidade.

O profissional de proteção de dados, compliance, segurança, gestão de riscos e outras áreas de controle não precisa ser o portador de má noticia.

No caso da LGPD, os argumento para conformidade aos requisitos da lei podem ser fortalecidos com ações positivas que trazem oportunidades e racionalização, alguns exemplos:

• Minimização - A LGPD define que devem ser utilizados apenas os dados pessoais essenciais e justificáveis. Para isso é preciso vencer as práticas do passado; aprendemos em marketing e TI a coletar o máximo possível de dados pessoais, mas precisamos nos adequar para tratar o mínimo necessário. Isso vale para formulários, planilhas, sistemas e outros conjuntos de dados. É uma oportunidade de racionalizar e simplificar os processos e sistemas, e consequentemente reduzir a 'superfície de ataque';
• Canal único - alguns processos aceitam a coleta do mesmo tipo de dados pessoais por diversos canais, por exemplo, um atestado médico pode ser enviado por email, whatsapp, papel, diretamente à área de saúde, ao RH ou a terceiros. Há muitas oportunidades de adotar um canal único e reduzir a complexidade da gestão do tratamento de dados pessoais;
• Reduzir a papelada - a digitalização de processos em papel é uma grande oportunidade trazida pela LGPD e que foi fortalecida pelos processos de teletrabalho praticados pela pandemia. A legislação em geral flexibilizou o uso de alguns documentos em papel, e as assinaturas eletrônicas foram fortalecidas;
• Padronização - o mapeamento de dados pode identificar processos e sistemas heterogêneos usados para fazer o mesmo tratamento de dados pessoais. Um caso recente identificou que em diferentes unidades de uma organização os sistemas de câmeras adotavam tecnologias diferentes, armazenamentos diversos e política de guarda heterogênea; com o resultado do projeto de LGPD, a empresa padronizou o modelo de CFTV, decidiu armazenar em nuvem e criou uma política única para dezenas de unidade, ao mesmo tempo ajustou o tratamento de dados pessoais, aumentou o controle e obteve significativa redução de custo;
• Comunicação efetiva - a comunicação da conformidade pode ser otimizada e as providências podem ser aproveitadas para aumentar a cultura de proteção de dados, no fim deste artigo há um link com exemplo para usar os avisos de área filmada como instrumento de conscientização;
• Aumentar o grau de segurança - se os argumentos de segurança cibernética ainda não são suficientes para adotar novas atitudes, a LGPD é um grande reforço. É importante ter processos inegociáveis, no mínimo as senhas e o controle de acesso precisam ser fortes;