A legislação brasileira para proteção de dados (LGPD), promulgada há um ano, alterada por medida provisória no fim do governo passado e, finalmente, sancionada pelo atual presidente em julho último, está na reta final para entrar em efetivo vigor em agosto do próximo ano.

Muito movimento, muitos eventos e muito ruído. Mas, no fim do dia, ainda vemos pouca ação no sentido do engajamento efetivo das organizações – pelo menos da maior parte delas – na jornada de conformidade com a lei. Como é comum em nossa cultura, as razões são postas fora da nossa responsabilidade. A lei não foi regulamentada, a “autoridade” não foi estabelecida, ainda faltam informações detalhadas. Enfim, uma série de motivos para não fazer nada por enquanto. E pelo que temos visto, muitas destas empresas terão problemas com isso, pois, segundo análises e pesquisas realizadas, um ano é o tempo adequado para a construção coerente e consistente de programas de conformidade com a LGPD.

As razões apontadas, mesmo verdadeiras ou até justas, não podem ser usadas como argumento para tanta inércia. A LGPD, assim como a tia europeia dela, a GDPR, são leis que tornam obrigatórias práticas de privacidade e segurança da informação. E essas práticas estão aí, disponíveis, documentadas, prontas para uso. A família de normas ISO 27000 determina como trabalhar as medidas de segurança de informação para evitar uma série de problemas que temos visto todo dia na imprensa. Ransomware, vazamento de dados, invasão de celulares, entre outros. Medidas para contê-las são ações que deveriam ser adotadas pelas empresas sob quaisquer circunstâncias, independentemente de qualquer legislação. Isto é questão de segurança e continuidade de negócios.

As práticas de Privacidade de Dados (Data Privacy) são um conjunto de regras que tratam as formas pelas quais as empresas deveriam trabalhar seus dados de forma a garantir os direitos básicos à privacidade e segurança de dados, isto é, quem atende as normas ISO 27000 já terá dado um belo passo. É importante, contudo, levar em conta que a privacidade envolve segurança da informação, mas não somente ela. Existem questões específicas que precisam ser trabalhadas.

Segurança da informação e privacidade de dados são questões estratégicas, e quem assim as considera certamente não precisa esperar nada para começar sua jornada na conformidade. Normas e práticas existem e podem ser implementadas desde já, e seguramente a maior parte da retaguarda necessária para a conformidade com a lei terá sido cumprida.

Estabelecer o modelo legal e de governança garantirá que a operação esteja alinhada aos requisitos legais em termos do propósito e de bases legais. Que as informações serão processadas de acordo com a classificação e sensibilidade necessárias ao negócio. Que os riscos estão dimensionados e amparados por políticas e procedimentos sólidos. As melhores práticas garantem a conformidade que permitirá as organizações atenderem a legislação. A decisão de adotar melhores práticas é sua e de mais ninguém, e é estratégica para colocar sua empresa a frente de outras. Isso já é um ótimo começo.

* Enio Klein, CEO da Doxa Advisers; Professor de Pós-Graduação na Business School SP; Especialista em Transformação Digital