O tema LGPD já esteve em podcasts, webinares, artigos, jornais televisivos, vídeos no Youtube e até em perfis do TikTok e Instagram por influenciadores da área de TI ou SI. Por isso, não é de admirar que na área de tecnologia, haja uma estafa relacionada ao assunto, apesar de muitas empresas, pasmém, sequer terem começado seus projetos de adequação a lesgilação vigente (e não estou falando só de SMBs não, mas de empresas Enterprise que não se posicionariam no nível 1 de adequação se fossem auditadas agora).

Convido-os a analisar o tema de uma outra perspectiva, mais reflexiva e voltada ao ponto de vista do end-user, neste caso, um end-user com conhecimento prático na área de tecnologia, conformidade e experiência em projetos de implantação.

Quando uma empresa solicita meus dados de maneira obrigatória, por vezes é perceptível um excesso na coleta de dados, ou o oposto, como um certo receio de que qualquer tipo de tratamento de dados pode levar a punições baseadas na LGPD, e isto faz eu me questionar o quanto a empresa está adequada e entende o que está fazendo.

Outro ponto de atenção é que ainda não há (e talvez nunca haja, o que não é necessariamente ruim) um entendimento comum e nivelado relacionado a LGPD. Isto acontece, dentro dos muitos fatores, pelo fato da legislação ser mais abrangente do que comparada com a GDPR, que tem 11 capitúlos e 96 artigos, diferente dos 10 cápitulos e 65 da LGPD. Já estive em múltiplas palestras de DPOs e especialistas que se contradiziam ou mostravam um entendimento totalmente diferente em relação a implantação. Isto não é de todo ruim, pois o debate pode levar ao amadurecimento, entretanto, é notório que precisamos nivelar melhor nosso nível de entendimento.

Neste quesito, posso citar que a ANPD vem fazendo um trabalho ainda inicial, disponibilizando sete guias orientativos e algumas documentações que podem nos ajudar nesta caminhada. Se desejar, recomendo os seguintes guias:

Guia para Tratamento de Dados em Fins Acadêmicos:

Link de acesso ao PDF.

Guia para empresas de Pequeno Porte:

Link de acesso ao PDF.

Ainda assim, é notório que precisamos de um esclarecimento por parte dos órgãos oficiais que norteiem a visão das empresas e deem a elas segurança suficiente de que elas não serão inadequadamente punidas em caso de incidentes que sejam comunicados e investigados oficialmente.

Percebo que as empresas acabam sendo vítimas, e ao mesmo tempo, levando os usuários e titulares de dados consigo, de um Brasil ainda defasado em relação a segurança da informação de modo geral.

Por exemplo, em países desenvolvidos, há comitês que apoiam nichos distintos do mercado em seu caminho a proteção de dados e a segurança da informação. Como exemplo, a algum tempo tive que buscar orientações sobre proteção de dados para escolas. Encontrei documentos, frameworks e procedimentos oficiais em sites oficiais do Governo do Reino Unido, da Austrália e de outros países.

Acredito que precisamos trabalhar junto com as autoridades, comitês oficiais e a área acadêmica e disponibilizar padrões que sejam específicos para nichos de mercado, como telecons, ecommerces, varejo, saúde, etc. Até existem normas específicas das áreas com seus guias de segurança da informação, mas me refiro a subirmos o nível para algo oficial e que se aplique a todos.

Entretanto, há uma luz no fim do túnel. Muito aguardado a algum tempo, foi estabelecido recentemente o Comitê Nacional de Cibersegurança e a Política Nacional de Cibersegurança (https://www.gov.br/anatel/pt-br/assuntos/noticias/publicado-decreto-que-institui-a-politica-nacional-de-ciberseguranca-e-o-comite-nacional-de-ciberseguranca). Isto permitirá um trabalho conjunto entre pessoas técnicas e a ANPD para disponibilizar recomendações e posteriormente padrões que sejam seguidos pelas organizações, algo distante, mas ainda semelhante ao que a NIST faz nos Estados Unidos.

No momento, se você deseja que sua empresa seja reconhecida pela qualidade nos processos e não por falhas no tratamento e coleta de dados ou mesmo envolvida em incidentes de dados, faça o dever de casa, tenha a disposição um DPO, especialistas na legislação, técnicos e consultores e dê a eles os recursos necessários para que no fim da adequação, os titulares de dados tenham a confiança na imagem da empresa de que seus dados foram devidamente coletados, tratados e utilizados para o benefício da sociedade.