Embora muitas organizações vejam a LGPD (Lei Geral de Proteção de Dados Pessoais) apenas como uma obrigação legal ou um risco a ser gerenciado, pode, na verdade, ser uma ótima oportunidade para fortalecer a gestão de GRC — Governança, Riscos e Compliance.
GRC é um acrônimo para Governança, Riscos e Compliance, conceito que reúne práticas e processos destinados a garantir que a organização seja dirigida e controlada de maneira eficiente, transparente e em conformidade com as normas e regulamentos aplicáveis.
Governança refere-se à forma como a organização é dirigida, monitorada e incentivada, com o objetivo de assegurar transparência, prestação de contas e alinhamento com os interesses das partes interessadas. Neste sentido, a LGPD exige que a alta administração esteja diretamente envolvida na definição de políticas, alocação de recursos e nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO). Além disso, incentiva uma cultura onde os colaboradores entendam a importância da proteção de dados e suas atribuições e responsabilidades.
Na Gestão de Riscos, a LGPD demanda que as empresas identifiquem, avaliem e tratem riscos relacionados à privacidade e proteção de dados pessoais, como vazamentos, acessos não autorizados e uso indevido de informações. Esses riscos devem ser integrados ao processo de gestão de riscos corporativos, seguindo frameworks como a ISO 31000, garantindo que a proteção de dados esteja alinhada aos demais riscos organizacionais, sejam eles cibernéticos, operacionais, regulatórios ou estratégicos, adotando uma abordagem única e coordenada.
Quanto ao Compliance, envolve o cumprimento de leis, regulamentos, normas internas e códigos de conduta aplicáveis à organização. Por ser uma lei, a conformidade com a LGPD deve ser incorporada ao sistema de compliance, exigindo a implementação de controles, políticas, procedimentos, auditorias e treinamentos específicos. Esta conformidade pode servir como ponto de partida para implementar e aprimorar um sistema de compliance mais abrangente, alinhado com normas como a ISO 37301 (Gestão de Compliance), assegurando que todas as obrigações legais e regulatórias sejam atendidas de forma eficaz.
De maneira geral, a LGPD impacta diretamente as disciplinas de GRC, facilitando a integração das práticas de governança, riscos e compliance por meio de uma abordagem coordenada e eficiente. Ao exigir transparência e proteção de dados, ajuda a unificar diferentes áreas do GRC, quebrando "silos", criando sinergias e reduzindo a duplicação de esforços.
A LGPD também incentiva o uso de tecnologia e softwares especializados para gerenciar a conformidade e proteção de dados, como plataformas de GRC que automatizam e centralizam o monitoramento de riscos, auditorias e relatórios. Esses sistemas automatizam tarefas repetitivas, liberando tempo para que a equipe se concentre em atividades estratégicas e, assim, aumentando a eficiência operacional.
Ao ser encarada como uma oportunidade, a LGPD transforma o desafio da conformidade em uma vantagem competitiva, permitindo integrar suas exigências às práticas de GRC, reforçando o treinamento e capacitação e promovendo a implementação de um sistema integrado com o apoio de software especializados.
Portanto, a LGPD é mais do que um custo ou uma mera exigência regulatória. Quando integrada ao GRC, torna-se uma oportunidade para fortalecer a governança, aprimorar processos, melhorar a gestão de riscos e controles internos e promover uma cultura de conformidade em toda a organização.
Abraços, e até a próxima!
Alberto Bastos, @albastos
