Segurança

LGPD: TI não pode definir sozinha os programas de privacidade

Além de pesar no bolso, a falta de conformidade com a LGPD vai arranhar a reputação das empresas, adverte o gerente da área de LGPD da Every Cybersecurtiy and GRC, Vinícius Braga. Para ele, o risco de não atender as exigências da nova lei é mitigado quando os programas de privacidade têm o envolvimento direto da alta administração das organizações.

O executivo sustenta que um dos maiores erros na condução de projetos de LGPD é formar equipes que não sejam multidisciplinares. Braga lembra que é muito comum verificar projetos de LGPD nas organizações que são originados nas equipes de TI, mas é preciso observar que esses times não podem ser os únicos responsáveis pelos programas de privacidade.

“Analisando dados de uma pesquisa realizada ao redor do mundo, com mais de 1, 5 mil empresas que implementaram projetos de privacidade, foi verificado que 74% das empresas ouvidas formaram uma equipe multidisciplinar responsável pelo programa de privacidade. Dados desta mesma pesquisa já mostram que 57% dos tomadores de decisão de TI dizem que as áreas de compliance estão conduzindo seus programas de segurança, com ferramentas para garantir a privacidade dos dados”, ressalta o gerente de LGPD da Every Cybersecurity and GRC.

Braga diz que pelo menos 60% dos planos de ações dos projetos de LGPD desenvolvidos pela Every Cybersecurity and GRC não estão relacionados à área de TI. Ele afirma que é fundamental envolver áreas que lidam com dados sensíveis no dia a dia das instituições e empresas, como marketing, recursos humanos (RH), departamentos financeiro e jurídico.


“Vemos ainda uma baixíssima participação de áreas como marketing e RH. Essa é uma postura que precisa ser revista. Além disso, quando não há o apoio do alto escalão, as empresas terão que se esforçar mais para implementar requisitos da LGPD ou de qualquer outra lei que abranja privacidade ou segurança de informação”, pontua Braga.

Outra prática que tem prejudicado o andamento de projetos relacionados à LGPD nas organizações é a ausência de diagnóstico. Braga afirma que fazer um diagnóstico para verificar como a organização trata os dados pessoais, sejam de colaboradores, clientes ou consumidores, é fundamenta para definir os rumos dos programas de privacidade. “Na maioria das vezes, as empresas não sabem quais áreas tratam dados pessoais, isso não é demérito, é uma questão de cultura. Então é muito importante que seja realizado um diagnóstico prévio a um projeto para adequação da LGPD. Temos visto algumas empresas errando, por não solicitarem esse diagnóstico antes de começam a fase de implementação. É uma etapa que demora, mas traz resultado”, detalha Braga.

De acordo com o gerente da Every Cybersecurity and GRC, a etapa de diagnóstico é mais longa porque incluireuniões com muitas áreas. Braga explica que, embora seja demorada, essa etapa é imprescindível para que o projeto atinja seu objetivo, que é a adequação à LGPD.  “Durante o diagnóstico, desde que haja um bom planejamento e definição do escopo, é possível planejar o início das ações e quais as áreas que devem ser envolvidas. Na segunda fase desse processo, avaliamos como a questão da privacidade dados é tratada em cada área para podermos apresentar um plano de adequação”, completa.

Botão Voltar ao topo