1.       O cofre não pode ser mais valioso do que o que se protege nele.

Esta máxima refere-se ao quanto se é investido em projetos e plataformas para adequar-se aos regulamentos de proteção de dados, ao custo de implementação de Privacy by Design em novos produtos e serviços – que, apesar de torná-los mais valiosos, não podem ser excessivamente onerosos e, além disso, para transferências internacionais, como BCRs (Binding Corporate Rules ou Regras Empresariais Vinculantes, ao pé da letra, que são mecanismos jurídicos para regulamentar a transferência de dados), podem representar o nível máximo de refinamento jurídico. Entretanto, a experiência com o GDPR demonstrou que, pelo menos até o momento, são quase inalcançáveis. É mais eficiente, portanto, implementar cláusulas adequadas de transferências internacionais do que despender tempo e dinheiro com a perfeição das BDRs.

2.       “Ainda não sabemos como será isso”

Não é novidade que leis e regulamentos de privacidade e proteção de dados ainda são novos em uma perspectiva global: inclusive, alguns países, como o Brasil, estão lidando com esta questão pela primeira vez.

Também é sabido que qualquer especialista no assunto será cauteloso nas previsões, assegurando que ainda há muito o que ser regulado e direcionado. Isto é verdade, mas continuar-se apoiando na desculpa de que “não sabemos como será isso” não pode mais ser resposta para as perguntas que pairam sobre o tema.

Elizabeth Denham, comissária de Informação do Reino Unido (ICO), quando questionada sobre o Brexit, respondeu: “eu não sei o que acontecerá. Mas sei que estou me preparando da melhor forma para todos os possíveis cenários” – e é esta a mentalidade que deve guiar o setor privado no Brasil: ainda não se sabe, por exemplo, quando o encarregado (DPO) será necessário ou como a Autoridade Nacional de Proteção de Dados será desenhada, então todos os cenários devem ser percorridos e para eles devem ser traçadas estratégias.

3.       Vazamento de Dados

Negocie antecipadamente com todos os fornecedores e consultores que eventualmente podem auxiliar num caso de vazamento de dados e os deixe “em modo de espera”. Uma vez que cada minuto conta entre a constatação de um vazamento de dados e a notificação à autoridade, não existe tempo que possa ser perdido com negociações e contratações.

A experiência com os recentes vazamentos de dados na Europa demonstrou que as empresas que melhor souberam reagir aos incidentes foram aquelas que já haviam contratado antecipadamente escritórios de advocacia preparados para lidar com a autoridade e consultorias de investigação forense para embasar a questão técnica que levou ao vazamento de dados.

E já que estamos falando de adequação à LGPD é importante lembrar que tais terceiros, uma vez contratados para respostas a incidentes, devem ser checados por meio de auditorias prévias e avaliações de risco e de privacidade.

4.       Dados são estratégicos!

Dados permitem que empresas tomem melhores e mais acuradas decisões. Porém, para que se obtenha e para que se trabalhe com tais dados de maneira transparente e legal, deve haver governança.

Grandes companhias expuseram que em seus organogramas a área de “Estratégia de Dados” engloba disponibilidade, utilização e infraestrutura simultaneamente. Isto significa que estratégia e governança fazem parte da mesma estrutura, com o objetivo de atender o seu lema de que “dados” devem estar abaixo de profissionais que saibam o que fazer com eles – mas ao mesmo tempo saibam também o que não fazer. O artefato, inclusive apontado como adequado, é uma matriz de dados – que exponha, de acordo com a realidade da empresa, o que se pode fazer com o dado e o que não.

Interessante, portanto, a exposição desta nova composição em que os benefícios e os limites dos dados estejam debaixo do mesmo guarda-chuva para que se pense, em conjunto, onde é possível chegar: em termos legais e de inovação.

5.       Uma política de privacidade adequada é aquela em que os funcionários leem e compreendem.

Políticas refletem o que os funcionários deveriam estar fazendo, enquanto os relatórios de risco e de privacidade que serão elaborados pós-adequação à LGPD refletirão o que os funcionários de fato fazem. Uma política eficaz, como mostrou o último ano de GDPR, é aquela que constantemente se adequa ao que é apontado nos relatórios de risco e de privacidade, ou seja, à realidade da empresa.

 

Leandro Augusto Marco Antonio

Sócio-líder de Cyber Security da KPMG no Brasil

Isabella Becker

Gerente da área de Cyber Security da KPMG no Brasil