Nossa empresa tem recebido pedidos para pesquisa e registro de preços de várias Prefeituras e outros órgãos públicos, cujo documento foi elaborado pelas entidades ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados e Rede Governança Brasil.
É elogiável a iniciativa dessas entidades em fornecer esse tipo de trabalho de maneira gratuita – até onde nos foi informado, e tão completa, contendo a descrição de Sistema de Gestão de Proteção de Dados.
Ocorre que a grande maioria dos órgãos públicos que estão coletando informações sobre os valores dessa implantação estão convencidas de que essa é a única alternativa para o processo de adequação a LGPD e também que as entidades que elaboraram o documento são representantes ou credenciadas pela Autoridade Nacional de Proteção de Dados para isso.
Acredito que as entidades não tenham tido essa intenção, mas caberia a elas esse esclarecimento, até porque a similaridade dos sites e denominação com o da ANPD é muito grande, gerando esse tipo de entendimento equivocado.
Entendemos que o principal objetivo dos profissionais que atuam com Segurança da Informação e Privacidade seja elaborar uma solução adequada a realidade de cada organização.
Os profissionais da Zemus também utilizam e já utilizaram o SGPD para realizar trabalhos de adequação, no entanto verificamos que é muito mais produtivo para ambas as partes, quando se estabelece um planejamento de atividades adequado a maturidade das organizações em relação a Segurança da Informação e Privacidade de Dados, e pela nossa experiência, órgãos públicos possuem um nível bem baixo, quando não inexistentes.
Além disso, existe o aspecto financeiro.
A implantação completa de um SGPD para qualquer organização, seja pública ou privada, acarreta altos investimentos e eleva os gastos e complexidade para mantê-los.
Pela amostragem que temos até o momento, uma boa parte das organizações públicas ainda utiliza, como solução de backup, o rotacionamento de HDs externos. Uma boa parte não possui qualquer gerenciamento de acessos, seja a arquivos ou sistemas, dentre outros.
Qual seria a taxa de sucesso na implantação de um SGPD em uma organização que ainda possui uma conscientização inexistente em relação a Privacidade?
Ora, se a própria LGPD já menciona “medidas proporcionais” para a proteção de dados e a Agência Reguladora estabeleceu condições diferenciadas para “agentes de pequeno porte”, é justamente por entender o cenário e tentar viabilizar a melhoria da privacidade para todas organizações.
Estabelecer metas louváveis mas gigantescas, leva normalmente ao fracasso do projeto – ainda que a adequação seja um processo.