A legislação é relativamente simples quanto ao seu objetivo, que resumo em:

​

• Proteger os dados pessoais e privacidade das pessoas;

​

• Impedir abusos, solicitando dados desnecessários visando benefícios de mercado ou, no pior caso, ações discriminatórias.

 

Quanto aos controles a serem aplicados, também não vejo nenhum mistério, apesar da histeria que existe, principalmente de mais profissionais/consultorias que visam somente lucro. O segredo está em:

​

• Ler a legislação ponto a ponto e separar as obrigatoriedades; 

​

• Analisar os anexos da ISO 27701/2019, que além de estar bem alinhadas a legislação, aborda as questões relacionadas as tecnologias e outros processos importantes para a adequação.

 

Tudo isso é muito simples, resumindo, teremos:

​

• O entendimento do intuito da Lei, que é um grande avanço e responde a várias perguntas;

​

• O que deve ser obrigatoriamente adequado, com base na lei, o que pode ser adequado, com base na norma;

​

• Inventários de dados, contemplando todo o ciclo de vida dos dados, coleta, tratamento, armazenamento e descarte.

 

Mas o que a legislação tampouco a norma não abordam, é que todo esse esforço não passa de um Sistema de Gestão de Dados Pessoais (SGDP) e, alinhado as demais normas de Sistema de Gestão (ISO 9001, 14001, 45000, 27001 e outras diversas), entender onde está o ponto mais crítico é essencial.

​

Assim, antes de elaborar dezenas de planos de ação e despender investimentos, deve-se entender onde estão as maiores criticidades, para que controles mais robustos sejam aplicados nos pontos certos. Nesse sentido, destaco algumas ferramentas que, na minha visão, devem ser aplicadas:

​

• Matriz de Criticidade das Áreas – LGPD: já exposta em artigo anterior¹, tem por objetivo entender quais áreas se expõem de forma mais significativa no tratamento de dados pessoais. Essas áreas devem ter mais controle, bem como, toda a equipe da área deve possuir maior entendimento e envolvimento à LGPD.

 

• Matriz de Risco – LGPD: uma dúvida paira nesse ponto, porém, o item VII, do Art. 6º da LGPD expõe indiretamente os riscos que devemos analisar e avaliar - proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

 

A LGPD se diferencia de outras legislações, pois, não somente impõe diretrizes a serem seguidas de forma igual por todas as organizações. Não é um sistema binário de “sim ou não”. Vai além disso, estabelece uma essência pautada em diretrizes cujo grau de criticidade dos dados pessoais e formas de tratamento deve determinar o nível de controles a serem aplicados.

​

Além disso, não basta apenas implementar, como num típico Sistema de Gestão, deve-se verificar os controles periodicamente. A Auditoria Baseada em Riscos (ABR) é altamente aplicável.  

​

Concluindo, a sua aplicação é totalmente multidisciplinar, deve envolver advogados, especialistas em riscos e especialista em segurança da informação, além de utilizar estruturas de sistema de gestão já existentes, como da Qualidade (ISO 9001). Uma planilha com o mapeamento de dados pessoais coletados com centenas de linhas, a análise da legislação e adoção de controles de segurança da informação não basta, deve-se buscar o entendimento dos dados, a criticidade e a integração com demais áreas da organização.

​

Haverá um dia em que Proteção de Dados será algo tão normal, estará na consciência de todos os colaboradores e gestores, que não haverá nenhum estardalhaço midiático, pois, na essência, é muito simples, basta focar onde está a sua maior criticidade.       

​

​

​