Gartner prevê que menos de 30% das organizações irão cumprir totalmente a nova lei de proteção de dados até agosto de 2020
O Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas, prevê que menos de 30% de todas as organizações sujeitas à Lei Geral de Proteção de Dados Pessoais (LGPD) irão conseguir cumprir totalmente os requisitos da regulamentação até agosto de 2020, data em que entra em vigor.
A LGPD afetará o processamento de todos os dados pessoais de residentes no Brasil a partir de 14 de agosto de 2020. Por isso, organizações públicas e privadas estão, agora, trabalhando para estabelecer estratégias eficazes para alcançar a conformidade total de suas operações. O desafio nesse caso, porém, é equilibrar as necessidades corporativas com a proteção da privacidade de clientes, funcionários, cidadãos, pacientes e consumidores.
"Para reduzir o risco à privacidade, a pergunta a ser feita para todos os líderes em privacidade é se podemos alcançar nossas metas corporativas com menos métodos invasivos à privacidade ou processando menos dados pessoais", disse Bart Willemsen, Research Vice President do Gartner, durante o Gartner IT Symposium/Xpo 2019™, evento realizado esta semana em São Paulo. "As organizações brasileiras devem perceber essa iniciativa como um programa e não como um projeto. Diferentemente de um projeto, que tem começo, meio e fim, um programa estabelece uma metodologia abrangente que influenciará permanentemente os processos de tomada de decisão com base em riscos e a melhoria contínua da maturidade", alerta o analista.
Mudança no cenário de privacidade global
De acordo com consultas feitas junto a clientes do Gartner, as três principais preocupações em relação à privacidade das informações são sofrer impacto financeiro por violações de dados --excluindo multas (46%), perder clientes (45%) e sofrer danos à reputação (44%). As sanções regulamentares por descumprimento ficam em apenas quarto lugar - ainda que as multas possam chegar a R$ 50 milhões.
Como a privacidade e a proteção de dados pessoais têm um impacto potencial em toda a organização, todos os funcionários que lidam com informações pessoais deveriam ter um senso de responsabilidade. No entanto, os programas de privacidade das organizações geralmente são liderados por um executivo sênior especializado em privacidade, com cerca de 40% dos responsáveis por esses projetos se reportando diretamente ao CIO (Chief Information Officer).
"A proteção da privacidade é infinitamente maior do que apenas um problema de TI ou de segurança", afirma Willemsen. "A LGPD afeta toda a organização. Embora os CIOs tenham um papel de liderança na orientação de suas organizações para armazenamento de dados em locais mais seguros, a privacidade deve ser um esforço de toda a empresa."
Mesmo assim, as organizações brasileiras precisarão de ajuda de fornecedores externos que oferecem perspectivas legais, processuais e tecnológicas. Para escolher o parceiro certo, o desafio é a falta de referências para confirmar se essas empresas são realmente especializadas em privacidade ou se estão apenas tentando se beneficiar de uma nova oportunidade de negócios. "Sem uma compreensão clara das etapas mínimas necessárias para criar um programa de privacidade, os líderes de TI terão dificuldade em priorizar as atividades no curto espaço de tempo que se tem para a entrada da lei em vigor", alerta o analista do Gartner.
Até 2021, as organizações que ignorarem os requisitos de privacidade e forem pegas sem programas de proteção da privacidade de dados pagarão 100% a mais em despesas com ajustes de conformidade do que os concorrentes que se prepararem e seguirem as melhores práticas. Quando abordados de maneira insuficiente, os descuidos referentes à privacidade das informações resultarão em um fluxo interminável de ações de correção em busca da conformidade das operações.
"Um aspecto essencial da LGPD é que as empresas terão de mudar de postura. Ao invés de sair tentando capturar a maior quantidade de informações, elas deverão capturar apenas os dados que servem a um propósito deliberadamente iniciado", diz Claudio Neiva, Research Vice President do Gartner. "O foco agora passa a ser garantir controle e transparência nas atividades de processamento de dados", explica.
O Brasil não está sozinho na preparação para a nova regulamentação de privacidade. Antes de 2023, mais de 80% das empresas de todo o mundo estarão sujeitas a pelo menos um regulamento de proteção de dados com foco em privacidade.
Claudio Neiva afirma que os líderes de TI devem estar atentos em sua preparação para os desafios de conformidade promovidos pela LGPD, de preferência seguindo estas cinco melhores práticas de gestão:
1. Nomeie um diretor de proteção de dados ou diretor de privacidade que atue fora da organização de TI ou de segurança, estabelecendo uma função satélite que seja capaz de supervisionar, sem conflito de interesses, e alinhar claramente as linhas de relatório à liderança.
2. Desenvolva um diagnóstico do real estágio de privacidade em que a companhia se encontra para criar um roteiro de ação totalmente baseado em riscos e demandas, estabelecendo objetivos claros em colaboração com os proprietários (os obrigatórios e os responsáveis) dos processos nas áreas de negócios.
3. Implemente políticas claras e plausíveis de retenção de dados trabalhando com os proprietários dos processos legais e de negócios.
4. Formalize a governança do programa de gerenciamento de privacidade, fornecendo orientações sobre os papéis e as responsabilidades de cada uma das partes interessadas que participam dos programas de gerenciamento de privacidade.
5. Desenvolva um plano separado para resposta à violação de dados, alinhando e aprendendo com os fluxos de trabalho tradicionais de resposta a incidentes de segurança.
Website: http://www.gartner.com/br/symposium