Segurança cibernética, criptografia, LGPD e a responsabilidade das empresas para além da área de TI

Você já reparou que, nos últimos tempos, as publicações sobre tecnologia da informação e negócios na mídia e redes sociais estão girando cada vez mais em torno de questões relacionadas à privacidade de dados? O que acontece é que a busca das empresas por adequação às regras de conformidade, preconizadas pela LGPD e normas equivalentes, está gerando uma discussão muito ampla e relevante sobre os aspectos legais e técnicos da nova Lei Geral de Proteção de Dados, que apesar de já estar em vigor, terá suas sanções vigentes só a partir de agosto de 2021.

Contudo, em muitas das orientações veiculadas não são percebidas conversas sobre o papel do negócio propriamente dito, sendo que é ele, justamente, um dos maiores agentes responsáveis pela privacidade dos dados de pessoas físicas e jurídicas. Sem contar que clientes, usuários, colaboradores, fornecedores, associados e parceiros comerciais são a principal razão da existência de uma empresa.

Claro que é comum atribuir a segurança cibernética dentro da responsabilidade pelo acesso aos dados. Afinal se temos um ambiente aparentemente protegido, criptografado, sistematizado a tal ponto que somente “pessoas autorizadas” podem ter acesso, consideramos que a inviolabilidade está garantida, não é mesmo? Só que esquecemos de algo crucial: quem efetivamente lida com os dados, aqueles que estão abertos e escancaradamente visíveis? Quem registra esses dados todos? Apenas uma pessoa é responsável por eles ou várias?

Um dos princípios definidos pelas regulamentações de conformidade é a criação de um Comitê de Privacidade. Não há uma regra formal, mas tem sido prática comum nos programas que estão sendo implementados estabelecer que esse comitê deva ser composto por integrantes tanto da TI como líderes das áreas que envolvam dados pessoais, liderados funcionalmente por um DPO (Data Protection Officer). Essa banca de gestores é, no final das contas, o grupo que irá atender às solicitações dos titulares de dados ou autoridades quanto ao emprego dos dados privados em ações de marketing, ações promocionais, propagandísticas ou qualquer outro meio de interesse do negócio.

Não se concebe ações voltadas a clientes ou fornecedores que tenham partido somente da área de TI. Até porque não é a ela que cabe o contato direto com os sujeitos essenciais ao negócio. Na verdade, o maior proveito no acesso aos dados pessoais é das áreas de negócios e estratégias. Inclusive, deveriam ser exatamente esses dois times os maiores interessados na preservação correta desses dados, já que eles representam a essência do seu trabalho e o seu principal patrimônio.

Por isso que, ao implementar um programa de privacidade, é muito importante o desenvolvimento da conscientização dos participantes, tanto do comitê quanto dos envolvidos nos processos - aqueles que atuam com dados privados direta ou indiretamente. Para isso são previstas sessões de treinamento específicas, que capacitam e desenvolvem a conscientização de preservação dos dados. Afinal, evitar violações de dados pessoais deve ser uma responsabilidade de todos.

Melhor do que advertências e punições, a prática responsável no trato com os dados pessoais eleva o nível de maturidade do negócio, estabelecendo princípios que revestem de importância quem participa deles.

Como dizia uma das célebres frases do Prof. Milton Friedman, da Universidade de Chicago e Nobel de economia: “Há uma e apenas uma responsabilidade social da empresa: usar os seus recursos e dedicar-se a atividades destinadas a aumentar os seus lucros desde que se comprometa com uma concorrência aberta e leal, sem engano ou fraude.”

Quando a área estratégica - mais do que qualquer outra área de uma empresa - atua com a visão de privacidade, ela evita fraudes e os enganos gerados por quem busca ganhos desmedidos com os dados que estão em sua posse, mas que de fato não lhe pertencem