Brasil,

A LGPD e 'O homem que copiava'

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Larissa Moutinho
  • SEGS.com.br - Categoria: Demais
  • Imprimir

A LGPD e 'O homem que copiava'

Era uma vez um jovem que alimentava um grande desejo em conhecer uma garota. A garota dos seus sonhos, a vizinha Silvia.

Sem condições financeiras, mas já com o plano perfeito de aproximação, contou com a ajuda de seu “amigão” Cardoso, e passou a copiar notas de 50 Reais, de modo a colocar seu plano de felicidade em curso.

Esse é o roteiro base do filme “O homem que copiava”, que mostra a escolha de caminhos tortuosos para o alcance de um objetivo legítimo.

Opa... o que tem isso a ver com adequação à LGPD? Quem são esses “Cardosos” que influenciam a cópia como meio de alcançar o plano de adequação tão desejado?

Vamos aos fatos, mas não apenas como crítica aos copiadores de plantão, ou mesmo às empresas que aceitam tal prática pelo simples fato de “custar menos”, mas sim para demonstrar que, além do objetivo não ser atendido, perde-se uma grande oportunidade de melhoria da empresa e de demonstrar aos clientes e funcionários, titulares de dados, que a empresa é ética e responsável. Perde-se a oportunidade de rever os processos, reduzir despesas com manutenção do que não é necessário. E perde-se a oportunidade de gerar mais valor para o negócio, que pagaria o investimento em uma adequação de fato em pouco tempo (ROI).

Alguns poderiam dizer: “mas as empresas não sabem como discernir os copiadores dos criadores de valor. Como condenar, então, esses gestores por caírem nas falácias dos copiadores”? A resposta é simples: Para ser gestor é necessário, ao menos, ter um pouco de astúcia para perceber que se algumas empresas cobram, por exemplo, entre R$70 e R$120, e uma se apresenta para fazer o mesmo por R$20 ou R$30 algo está errado. Se forem analisadas as propostas técnicas com as entregas e o processo de adequação fica fácil perceber a diferença, o que já mostra que há indício de que algo está errado.

Outra forma simples de estimar o valor do investimento para adequação é multiplicando o valor médio da hora dos profissionais necessários em um processo de adequação (jurídico, segurança da informação, privacidade, processos, gerente de projetos, etc.) pela quantidade estimada de horas necessárias de esforço para o trabalho.

Tendo, como exemplo, um projeto com esforço de 1.500 horas, e um valor médio de R$150,00 por hora, o valor não poderia ser muito abaixo de 150 mil reais. Para saber o esforço estimado de horas, peça à consultoria uma tabela das atividades e entregas e a estimativa de horas/esforço.

Como podemos ver, temos várias formas de avaliar e validar propostas.

Superando esta possível dificuldade em entender o custo de uma adequação, que pode variar muito a depender do tamanho da empresa, quantidade de processos, complexidade da TI, maturidade atual em segurança da informação, dentre outras variáveis, vamos avançar em nosso tema.

Vamos postar um roteiro básico para contratação de serviços, com foco na adequação à LGPD em breve! Por quê? Porque se você não souber pedir, receberá qualquer coisa que queiram te entregar!!

É importante entendermos que adequar à LGPD não é o mesmo que implementar LGPD, ainda que para a adequação sejam necessárias diversas implementações, ou seja, implementaremos novos controles, novos processos, novas políticas e novas tecnologias, dentro do que for necessário e de acordo com cada empresa.

A adequação à LGPD pressupõe que já se entenda que não estamos adequados. Mas qual a distância entre a situação atual e a desejada adequação? Para sabermos isso é necessário que seja feita uma avaliação do cenário atual, o famoso “assessment”. Sem o resultado dessa avaliação fica difícil uma consultoria precificar o que será feito, de forma assertiva.

Aqui temos o primeiro impasse: a empresa precisa contratar e pagar uma consultoria para fazer a avaliação para só então partir para a adequação? Se a empresa contratante não tem claro o que precisa fazer, e dependendo da consultoria sim, mas no caso da Diferenciall não, pois temos uma metodologia que antecipa algumas fases, o que chamamos de Assessment ou Assessment Plus. Essa metodologia acelera o processo de adequação, de forma que a empresa possa ter e perceber avanços na adequação ainda durante a avaliação.

Após esta primeira fase – assessment+, a empresa terá, além de boa parte da adequação realizada, uma visão detalhada do que ainda precisa ser feito, o que traz grande assertividade na estimativa de esforço e prazo para a finalização da adequação.

A segunda fase é onde serão implementados os novos processos, controles e tecnologias que não foram possíveis durante o Assessment+, seja pelo prazo, pelo orçamento aprovado ou pela necessidade de alocação de orçamento, visto que algumas implementações podem ser complexas e requererem um projeto para tanto.

O importante, só para conectarmos o conteúdo ao título deste artigo, é que as políticas de segurança, de privacidade, de acessos, de governança de TI e de dados, dentre tantos outros documentos, sejam elaboradas e implementadas de acordo com cada empresa. Ainda que possamos utilizar uma “base” como modelo, não há como apenas copiar o modelo e aplicar. Modelo é só modelo. Ainda que pareça redundante dizer isso, tem muita gente colocando o modelo como versão final. Não basta trocar o nome das empresas, precisa ser adequado ao cenário corporativo, à cultura, às pessoas. Precisa ser aplicável, factível de ser implementado, monitorado, auditado, medido e melhorado. Não pode ter no documento uma diretriz que não será seguida, por não se aplicar à empresa alvo. Não há como se dizer “adequado”, se o documento escrito é morto, ou seja, não é vivenciado pela empresa.

Infelizmente temos visto isso sendo aplicado. Para se ter uma ideia, um grande escritório de advocacia tem em seu portfólio o trabalho para “repeteco” de adequação, para refazer, ou fazer direito, o que foi apenas entrega “do homem que copiava”.

Como conhecê-los? Como identificá-los? Como se reproduzem? Simples: Há quanto tempo estão no mercado de segurança ou privacidade? São egressos de cursos MBI (Master Business Instagram)? Cobram o valor hora muito abaixo do que seria o mínimo para um profissional com a senioridade necessária para o trabalho? Prometem fazer adequação em 100 horas?

Resumindo, utilize a razão, o raciocínio lógico e um comparativo básico com outras empresas sérias de mercado, e mesmo com outros trabalhos de consultoria que você contrata.

Para finalizar: Se você não sabe o que precisa para se adequar, qualquer proposta de adequação serve!

Para conhecer, consulte-nos em www.diferenciall.com.br.

Salomão de Oliveira é membro da ANADD | ANACO | ANPPD e professor de Disciplinas relacionadas a: Segurança da Informação; Privacidade e Proteção de Dados, Gerenciamento de Riscos e Gestão de Tecnologia da Informação. Atua como instrutor EXIN acreditado para os cursos de Fundamentos em Segurança da Informação (ISFS) baseados na norma NBR ISO/IEC 27002 e Green IT e possui ampla experiência em projetos de Gerenciamento de Riscos em TI, implantação de áreas de Segurança da Informação, Gestão da Segurança da Informação e Governança de TI.

Bacharel em Administração de empresas, com ênfase em Gerenciamento de Sistemas de Informação, Oliveira possui MBA em Segurança da Informação, extensão em Direito Digital e título DPO pela EXIN International (certificados ISFS, PDPF e PDPP).


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar