#bomdialgpd
Enquanto a Europa e os EUA têm uma forte legislação, regulamentação e normas técnicas associadas a tecnologia da informação (segurança cibernética, inteligência artificial, proteção de dados, governança de TI, riscos em fornecedores, ...), no Brasil a LGPD é a principal publicação a ser seguida no uso de tecnologia e do tratamento de dados e informações. Desde a promulgação da LGPD, ocorreram diversas mudanças, como a pandemia que fortaleceu o trabalho em casa e o uso de nuvem, além disso o uso de inteligência artificial cresceu rapidamente e já conquistou usuário em todas as organizações.
Nos primeiros anos de vigência da LGPD, muitas organizações criaram áreas ou destacaram equipes para adequar a organização à lei, e estas equipes muita vezes atuaram de forma independente. Após os primeiros anos de experiência muitas empresas estão utilizando a LGPD como uma maneira de integrar as obrigações legais com o negócio e a inovação. Tenho chamado isso de LGPD 360 graus, o que deve começar como um modelo de framework, e não como uma estrutura de departamentos.
O modelo 360 graus considera a atuação em quatro dimensões que atuam junto com o encarregado:
Alta Gestão
O Regulamento do Encarregado da ANPD determina que o responsável pela conformidade com a LGPD é do controlador (e não o encarregado) e, caso não exista uma política determinando o contrário, esta responsabilidade recai sobre a alta gestão, entendo que este é um dos grandes motivos para que a organização implemente um Programa de Governança em Privacidade (artigo 50 da LGPD). A alta gestão precisa definir os critérios da conformidade com a LGPD e principalmente destacar a responsabilidade das áreas na proteção de dados pessoais, e principalmente fazer com que a conformidade com a lei seja integrada com os objetivos de negócio.
Áreas Pares
Algumas áreas como TI, segurança cibernética, conformidade, controles internos, gestão de riscos, auditoria e inteligência artificial também são influenciadas pela LGPD e devem atuar em harmonia, de forma a chegar aos objetivos de negócio, evitar trabalho redundante e atuar com uma linguagem comum. Por exemplo: as novas soluções de TI por exemplo devem nascer em conformidade com a proteção de dados (privacy by design), e a área de gestão de riscos devem incluir o risco da proteção de dados, mais que isso, alinhar estes riscos com as iniciativas (formais e informais) de IA na organização.
Áreas Fim
Uma organização trata seus dados pessoais por demanda das áreas fim (produção, marketing, RH, vendas, financeiro, ...), assim nada mais natural que a responsabilidade sobre a proteção destes dados seja atribuído a estas áreas - obviamente com apoio das áreas de proteção de dados, segurança cibernética, TI e outras. Uma prática que tenho visto bons resultados é quando estas áreas destacam profissionais para serem pontos focais (ou champions, interlocutores, ...), e a área de proteção de dados mantém relacionamento constante com este grupo.
Colaboradores em Geral e Usuários Finais
Falamos aqui algumas vezes, "pessoas são o elo mais fraco da segurança, porém pessoas engajadas tornam-se o elo mais forte". O trabalho de educação, conscientização e engajamento é essencial, os usuários precisam ser constantemente motivados, informados e formados tanto para apoiar a proteção da organização como para aplicar o conhecimento em sua visa pessoal. Nunca é demais lembrar que a maior parte dos incidentes e ataques bem sucedidos e de maior porte foram conquistados por meio de phishing, acesso indevido e engenharia social.
A atuação com equipes multidisciplinares é um dos maiores desafios do encarregado, e ao mesmo tempo é um assunto que não é abordado no ensino formal. O aspecto organizacional da proteção de dados é um elemento chave, uma das melhores formas de tratá-lo é a preparação do programa de governança em privacidade descrito no artigo 50 da LGPD.
Ilustração gerada por IA. Prompt GPT4o. Favor desenhar um grupo em um escritório motivado com o trabalho multidisciplinar.
Boa semana,
Obrigado,
Aquele abraço,
