Descobrir, qualificar e eliminar passivo de dados é início da agenda de DPO
Achar os dados críticos em diversos sistemas legados e atribuir tanto o valor de negócio quanto os critérios legais de tratamento é base da definição de controles e proteção.
Conforme o segmento e a atividade, cada organização enfrenta um cenário com complexidade diferente para se adequar à Lei Geral de Proteção de Dados, mas os DPOs (data protection officers) das companhias mais adiantadas na jornada já estão transformando o viés de tratamento de informações. Os problemas gerais na fase inicial são semelhantes. Além de alguns dados circularem há dezenas de anos entre diversos sistemas legados, mais recentemente ficou muito barato acumular dados (que sequer precisam ser estruturados). Com as exigências de controle pelo regulador, agora é preciso separar nesse volume o que é essencial e o que é resíduo. A informação, que de fato é o maior ativo de uma organização, podem se tornar um passivo em certas circunstâncias. Essa é a discussão que muitos DPOs têm levado às áreas de Compliance, Jurídica, Financeira e de negócio entre as fases de mapeamento e implementação das políticas.
A LGPD não esgota as exigências regulatórias e as políticas de governança. Relacionar os dados classificados às hipóteses de uso lícito já é uma tarefa complexa dentro do escopo da LGPD. Praticamente todos os segmentos têm que apresentar conformidade a outras normas (PCI, LAI, MCI), o que, na implementação vai agregar algum custo de criptografia, gestão de acessos, monitoramento e outros controles.
Compliance não engessa o negócio, desde que o dado tenha valor. A classificação dos dados não é missão exclusiva das áreas de GRC (governança, risco e compliance). É preciso que se defina o quanto esse dado agrega para o cumprimento dos objetivos e nos resultados. Nesse questionamento, tem sido descoberto muita informação redundante, bases inúteis e outros pontos que geram mais risco do que retorno.
A transformação cultural e as medidas práticas correm juntas, pelo tempo para atender às diversas vertentes de compliance à LGPD. Com base em nossas conversas com os DPOs de companhias brasileiras, e a experiência com a GDPR, elencamos algumas das preocupações principais no webinar 10 razões para não postergar a sua jornada à LGPD.