A Lei Geral de Proteção de Dados, ou simplesmente, LGPD, está valendo no Brasil desde 2020.
Seguindo as bases do regulamento europeu, a LGPD muda a forma de coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Seu principal objetivo é oferecer segurança e transparência quanto ao tratamento de dados pessoais nas mais diversas esferas.
E, além da LGPD, está o tema privacidade, que já está presente em 100% das empresas, independente da estrutura e do segmento em que elas trabalham. Algumas há mais tempo, principalmente as que tem o DNA Europeu, que já vem trazendo isso dentro da sua estrutura há alguns anos, outras seguindo o mercado brasileiro, onde já se fala numa lei de privacidade desde 2011/ 2012, mas ganhando bastante força no final de 2014/ início 2015.
Mas, como isso impacta nas empresas e nos negócios?
Quem vai falar sobre isso é o DPO e Head de Segurança da Informação na AeC, Roberto Toscani, que acumula experiência de mais de 30 anos em Tecnologia, Segurança da Informação e Privacidade de Dados, sendo que nos últimos 14 anos, esteve voltado para o segmento de serviços (BPO). Toscani já conduziu projetos de certificação SOX, ISO 27001 e PCI/DSS, criação de uma estrutura de apuração a fraude voltado para cliente, estruturação de SOC (Security Operation Center), elaboração da Política de Segurança da Informação baseado na ISO 27001 e de seu plano de conscientização, Lei de Proteção de Dados, entre outros.
Confira os insights dessa conversa e prepare-se para criar o seu diferencial no mercado!
[AeC] Como está a realidade da aplicação da LGPD dentro das empresas?
[Roberto] A maioria das empresas ainda está com dificuldades tremendas. O próprio governo ainda não tem uma pessoa focada nisso (DPO – Data Protection Officer), e não tem uma politica interna de privacidade baseada na LGPD, em que converte a lei na realidade daquele segmento em que trabalham. Vemos vários vazamentos de informações acontecendo, principalmente em empresas, segmentos e órgãos reguladores do governo. Então é uma lei que ainda falta muito para obter um nível de maturidade no Brasil e afirmar que já faz parte do cotidiano das pessoas e empresas. Por exemplo, as multas que foram definidas em lei que prevê 9 tipos de penalidades ainda não estão ocorrendo, devido a não definição do formato da aplicação das multas. Porém, os processos internos da ANPD (órgão fiscalizador) que investigam infrações já estão sendo conduzidos internamente na ANPD.
Mas é uma lei que veio para ficar, e não há como fugir disso. Inclusive, no início do ano ocorreu uma promulgação da EC 115/22 que prevê a inserção do direito à proteção de dados pessoais na Constituição Federal.
[AeC] Quais os desafios das empresas para ter um foco maior no tema?
[Roberto] É difícil falar sobre isso porque cada segmento vive uma realidade. Mas, falando a grosso modo, de forma genérica, hoje o tema ainda não está tão latente, principalmente por falta da aplicação da multa. Então, enquanto não tiver isso muito bem pautado, bem definido, as empresas vão aguardar para ver quais as mudanças que haverá na lei.
Um segundo ponto são os altos investimentos necessários em pessoas especializadas e adequação dos processos. O terceiro ponto é que a lei não está clara para pequenas, médias e grandes empresas. Então, existem alguns itens da lei que levam algum tempo para ter uma maturação, inclusive da própria lei, para que ela seja adequada e que faça sentido para todos os portes de empresa.
O ideal para disseminar o tema privacidade nas empresas, é que haja um comitê formado por uma equipe multidisciplinar, composto por pessoas de diversas áreas e conhecimentos variados, como os profissionais de segurança da informação e advogados, que tem expertises distintas mas que complementam e somam às melhores práticas para adequação e disseminação da LGPD. Não pode ser visto apenas como um tema jurídico, por se tratar de uma lei e nem apenas um tema técnico de segurança da informação.
[AeC] Quais são os benefícios da LGPD para os consumidores?
[Roberto] Para o consumidor final, o maior benefício, é a certeza de que ele não vai receber ligações indevidas de mailings (listas) em que não tenha se cadastrado, ou até vazamento de dados bancários, sabendo que esses dados serão usados apenas por empresas que o consumidor confiou, que ele próprio forneceu para algo em benefício dele.
Então, o consumidor final ganha mais confiança em fornecer seus dados, sem pensar que eles serão usados de forma indevida, e terá a garantia da informação que é exclusiva dele. Ou seja, dá mais controle ao consumidor final para definir de que forma seus dados deverão/ poderão ser utilizados pelas empresas.
[AeC] Sabemos que é bem difícil atuar contra uma ação humana. Então, quais mecanismos as empresas podem criar para evitar que os dados sejam vazados intencionalmente?
[Roberto] Sempre deve-se considerar o triângulo como base: pessoas, tecnologia e processos.
Certamente, o elo mais fraco nessa tríade, são as pessoas. Por mais que a empresa conscientize, faça treinamentos, crie maturidade, fica difícil agir sob pessoas que entram na empresa com a intenção maldosa e até criminosa de ter acesso aos dados e usá-los indevidamente.
Nesses casos, recorre-se a processos e tecnologia. Para atuar contra a ação voluntária de um humano, a tecnologia faz o seu papel de monitoração e bloqueio de certos tipos de acesso. Claro que não existe 100% de garantia quando o assunto é segurança. Mas a tecnologia reduz ao mínimo esses incidentes.
E, se mesmo assim ocorrer, criam-se mecanismos (processos) para identificar a pessoa e tomar as medidas cabíveis. Ou seja, a pessoa que ferir a política de segurança e privacidade, por exemplo, pode ser acionada de forma cível e criminal na justiça. O indivíduo deve entender a responsabilidade dele dentro do processo e no manuseio de informações pessoais.
[AeC] É possível enxergar a obrigatoriedade da lei como oportunidade e criar diferencial competitivo no mercado?
[Roberto] Por mais que seja uma obrigatoriedade, já que trata-se de uma lei, pode-se considerar que ela cria um diferencial de mercado.
Na AeC, por exemplo, o tema é levado tão a sério, que está na pauta dos nossos C-Levels, na pauta de Conselho, e também na pauta do processo de Compliance da empresa.
É um tema que, se você não estiver adequado, não estiver aderente, mesmo que seja aplicado uma multa, não fica por isso. Se houver um vazamento de informações, sua imagem no mercado fica arriscada porque você não estava com todos os controles para impedir isso.
Então ela não pode ser vista apenas como uma restrição legal. Se ocorrer qualquer incidente com os dados que são manipulados pelas empresas, a credibilidade da marca fica abalada. Como o cliente voltará a confiar novamente na marca depois de um incidente, mesmo com uma obrigatoriedade imposta? Como sua empresa está tão vulnerável a ataques e vazamentos de informações? Isso diz muito sobre a responsabilidade que a marca tem perante a jornada do consumidor.
Como os nossos pais mencionaram quando éramos crianças, não existe nada mais importante do que seu nome e sobrenome. E funciona da mesma forma quando você traz essa premissa para o mundo corporativo, pensando no nome e imagem da empresa ao mercado
[AeC] Quando a empresa atinge uma maturidade nesse tema, o que isso representa?
[Roberto] Nenhuma empresa está 100% isenta de que não sofra algum ataque cibernético. Uma pesquisa do Gartner, de 2021, menciona que todas as empresas do mundo sofrerão algum incidente de segurança, ou algum incidente de privacidade de dados ou até algum vazamento de informação nos próximos 6 anos. O que vai fazer o diferencial no mercado, é a forma como a empresa age perante o problema, como ela vai responder ao mercado rapidamente e a forma que a companhia mitiga e controla todo aquele incidente dentro do seu ambiente. Para atender a esses 3 itens, as empresas precisam estar muito bem estruturadas, os processos muito bem articulados dentro da empresa, com uma maturidade, com os controles bem pautados, e não estar despreparado sem saber como resolver.
Quando a empresa tem toda a estratégia elaborada para contorno de uma crise, ela evita tomar decisões precipitadas, ou agir impulsivamente Como já possui todos os caminhos a serem seguidos quando se encontrar numa situação adversa, vai agir com naturalidade e consciência. É super importante a empresa e os processos estarem bem maturados, bem estruturados, para se restabelecer de forma rápida e mais assertiva.
Se você chegou até aqui é porque o seu foco está na experiência do cliente e a boa notícia é que esta é a nossa área. Desdobraremos neste conteúdo como a AeC, que possui expertise e know-how construídos e lapidados em mais de três décadas, pode transformar a experiência do seu cliente (CX). Rico de […]
Em um cenário empresarial cada vez mais interconectado e orientado pelo cliente, a importância de colocar o cliente no centro torna-se ainda mais crucial, inclusive quando se trata de relações B2B (Business-to-Business). Longe de ser uma abordagem meramente transacional, essa estratégia destaca a transformação de interações comerciais em parcerias colaborativas e duradouras. Reconhecer e atender […]
Os últimos anos exigiram uma rápida transformação digital das empresas. Em especial após a Covid-19 impactar o mundo, essa evolução se deu de maneira enorme. No entanto, essa busca por tecnologia deixou, em muitos casos, a dedicação a clientes, funcionários e outras pessoas de lado. E isso pode trazer um impacto significativo hoje. Por que […]
