*Por Eduardo Almeida, CEO da Indra no Brasil
A Lei Geral de Proteção de Dados, que deve entrar em vigor ainda este ano, traz sensações variadas às empresas brasileiras. Companhias com viés de segurança e tecnologia inerentes ao seu core business têm se apresentado como corporações com forte potencial de investimento em segurança e estruturas mais adequadas ao que a nova lei exige. Enquanto isso, companhias menores e com legado longe de ser totalmente digital ainda se esforçam para entender por onde começar.
Em meio a esse cenário, informações de todo tipo são propagadas. Desde “muito caro”, “muito difícil”, “muito trabalhoso” ao cenário reconfortante de ter “passos”, “etapas” e “guias” à mão, companhias ficam frequentemente divididas na hora de realizar esse tipo de investimento. Afinal, por onde começar? Quais profissionais contratar? E quais objetivos atingir na hora de adequar a empresa à Lei Geral de Proteção de Dados?
Na nossa experiência, avaliamos que não há uma resposta única a todas essas questões. O alvo comum a ser atingido é um só: assegurar o máximo de conforto e segurança a colaboradores e clientes para proteger seus dados de maneira eficaz – e não prejudicar os negócios da companhia. Em um ambiente cada vez mais conectado e interdependente, é necessário contar não com apenas uma, mas sim um conjunto de estruturas de controle para assegurar a continuidade dos negócios.
Isso depende de um conjunto de profissionais qualificados e de metodologias eficazes para obter sucesso. No Brasil, ambos os fatores ainda constituem desafios a serem superados. A carência de quantidade e em qualificação para Chief Information Security Officer (CISO) no país é real e colabora para fortalecer um cenário em que há muitas pessoas capacitadas a resolver apenas situações básicas de risco.
Ao mesmo tempo, por se tratar de algo novo no país, há uma grande quantidade de metodologias sendo disseminadas em várias companhias. Se por um lado isso é bom – há pessoas testando o que funciona e o que não funciona – causa confusão a muitos o fato de não existir uma fórmula única, básica, que possa ser aproveitada como ponto de partida.
Apesar das dificuldades, há boas perspectivas a serem vislumbradas, observando países que já têm mais experiência e tempo de implantação dessa nova regulação. Um relatório publicado pela European Comission afirma que, após um ano de vigência da GDPR, a maioria dos países membros já tem o framework necessário para fazer a nova norma funcionar: as empresas estão desenvolvendo modelos para se adaptarem ao novo cenário e os cidadãos têm se tornado cada vez mais conscientes de seus direitos.
O estudo ainda defende que, mais do que exercer multas multimilionárias às companhias para forçá-las a se adaptarem, é necessário estabelecer outras medidas para incentivar empresas nesse cenário. Impor limitações temporárias (ou definitivas) ao processamento de dados ou ordenar a suspensão dos fluxos de dados para um determinado local são exemplos de medidas que podem ser adotadas em breve.
No Brasil, a aplicação da Lei 13.709/18 deve trazer efeitos semelhantes. Minimizar a vulnerabilidade dos sistemas é um passo essencial a ser cumprido – e ao qual grandes companhias já estão desenvolvendo mecanismos eficazes para se adaptar. Ao mesmo tempo, contar com equipes qualificadas e capazes de entender os riscos inerentes a cada setor também vai ajudar a superar novos desafios.
Isso vai demandar investimento. E num cenário de recessão acentuada como o atual, pode assustar empreendedores ou gestores de empresas que passam por dificuldades financeiras. Cada um desses agentes vai tomar as decisões que lhe competem e para as quais estão preparados – companhias que buscarem capacitação e as ferramentas adequadas para se adaptar ao novo cenário têm excelentes chances de sucesso.