O termo “dívida técnica” é muito utilizado quando se trata de movimentos na área de tecnologia e, seguramente, bastante adequado para falarmos de programas em conformidade à Lei Geral de Proteção de Dados (LGPD). Softwares implementados em muitas empresas se mostram claramente incompletos, oferecendo riscos iminentes para a organização e para as pessoas que confiam seus dados a ela, resultando na dívida técnica. A Pesquisa de Privacidade e Proteção de Dados, promovida pelo Grupo Daryus no final de 2022, revela que 35% das empresas do Brasil estão parcialmente adequadas à norma, o que pode gerar programas ineficazes.
É possível afirmar que o longo processo, desde a divulgação do projeto da lei 13.709/18 até a sua implementação, além dos atrasos nos esclarecimentos de pontos relevantes e estruturação de agência reguladora, criou-se um ambiente propício à hesitação dos executivos. O ponto é que foram abertos espaços para questionamentos em relação ao entendimento e investimento em programas de conformidade, que não são rápidos, tampouco simples, e necessitam de muitos recursos.
A implementação de programas de conformidade com a LGPD envolve diversas peculiaridades e esforços que são áreas de deficiência ou risco dentro do sistema, processos ou infraestrutura de tecnologia da informação. Algumas das dívidas técnicas mais comuns em programas desta natureza incluem a falta de mapeamento preciso de dados, o que pode resultar em uso indevido e riscos de privacidade e segurança.
Além disso, a falta de controles de acessos adequados aos dados digitais e físicos pode levar a vazamentos de dados e violações de privacidade. Outro gerador de dívida técnica é a falta de monitoramento e registro adequado para identificar e responder a incidentes de segurança e privacidade e, ainda, a falta de controle da existência e uso dos ativos de dados. Ter informações dispersas em ERP, CRM, plataformas de dados e IA, em alguns casos duplicados, incompletos ou inválidos, também gera dívida técnica.
Por isso, é preciso garantir programas de conformidade com a LGPD que incluam avaliações regulares de risco, testes de segurança e privacidade, monitoramento contínuo e atualizações regulares de software e infraestrutura.
A lei é clara em relação à obrigação das empresas de proteger os dados pessoais retidos em seus sistemas de armazenamento, sendo que é preciso estabelecer processos razoáveis para defender as informações guardadas contra acesso indevido.
A obrigação da gestão do uso das informações em relação à finalidade de tratamentos de dados também deve ser cumprida. Abrir canais para que as pessoas que lidam com a empresa possam exercer seus novos direitos também é fundamental.
Falar sobre quais consentimentos o titular concedeu ou revogou também é preciso. Como legítimo proprietário de seus dados, ele pode requerer a portabilidade dessas informações. É necessário dar apoio a esse direito de ser esquecido, ou seja, apagando os dados que o titular solicitar caso não haja algum vínculo com a empresa que justifique a manutenção e uso das informações.
Em um cenário onde os dados estão armazenados em grande volume e variedade de sistemas de armazenamento e uso (bancos de dados, servidores de arquivos, plataforma local ou em nuvem), plataformas de dados e inteligência artificial, o desafio é grande!
O caminho da diligência objetiva requer que os executivos das empresas entendam definitivamente que terão que empenhar recursos para o programa para não sofrerem seriamente as consequências de manter uma empresa funcionando fora da lei.
Por isso, não adianta dar um passo grande logo no princípio. Deve-se começar pequeno e estabelecer um programa de melhoria contínua para gerir a proteção e uso dos dados pessoais. Para a empresa ser diligente, ela também deve normalizar os processos de segurança dos dados físicos e digitais, verificar vulnerabilidades, abrir planos de ação para melhorias e documentar a evolução.
Sem isso, não existe ambiente para proteger os dados, gerir sua existência e uso e garantir a gestão do ciclo de vida, tampouco atender com eficiência aos direitos dos titulares.
A conformidade com a LGPD não é um estado estático ou um ponto final que pode ser alcançado. Trata-se de um processo ininterrupto de melhoria e adaptação para garantir a proteção contínua dos dados pessoais.
(Fonte: Marcio Guerra é diretor de marketing e inovação da MD2, DPO certificado pela Exin, cocriador da solução MD2 LGPD SUITE, MD2 Quality Manager e da metodologia MD2 de implantação de programas de conformidade à LGPD e um dos pioneiros no Brasil de criação e implementação de programas profissionais de conformidade à LGPD).
