Neste conteúdo, trazemos informações sobre o que você deve comprar para se adequar a lgpd especialmente para que sua empresa possa estar conformidade com a LGPD sem necessidade de comprar algo que não seja realmente necessário. Para iniciar, trazemos o relato de Eduardo Pagano – CEO da Zemus Segurança da Informação, a respeito do tema relacionado ao que se deve comprar para adequação LGPD.
Relato…
“Dias desses, recebi uma ligação de uma das maiores empresas de tecnologia do mundo oferecendo soluções de adequação a LGPD para minha empresa. Obviamente que ela não falou em adequações; ela utilizou o termo compliance.
Falou que minha empresa precisaria de um Assessment para identificar os gaps e estabelecer um planning. Que a empresa oferecia soluções em tecnologia de softwares a appliance, de end points ao core da empresa. Com isso a empresa estaria quase em conformidade, mas faltaria a cereja do bolo: DLP ou Data Loss Prevention que atenderia todas as camadas que precisariam ser protegidas na empresa para comprar para se adequar a lgpd. Expliquei a ela que não havia entendido praticamente nada do que ela estava oferecendo em razão da utilização de vários termos que não eram de meu conhecimento, mas perguntei a ela: E a papelada no arquivo morto, como vocês atendem?
A solução da vendedora foi simples:
– Poderia me passar para a pessoa de TI?
Além desse episódio infeliz já tomei conhecimento de outras abordagens:
– Contrate nossa solução e sua empresa estará adequada a LGPD em até 30 dias, quando então receberá um certificado de adequação a LGPD.
– Contrate nossa solução de Antivírus e anti-malware e receba gratuitamente nossas soluções de Proxy e Firewall, com isso sua empresa estará adequada as exigências legais.
– Contrate meu escritório de advocacia que faremos as adequações em seus contratos e forneceremos cláusula padrão de consentimento para incluir em seus contratos. Essa aqui vale até um rápido comentário: o contrato por si só já permite a utilização de dados pessoais, se houver necessidade de uma cláusula de consentimento nele será por causa de situações específicas, o que não caberia em uma cláusula padrão.
– Isso sem contar com as inúmeras ofertas Black Friday, seja de soluções ou até mesmo de cursos, videoaulas, livros e certificações para formar um DPO – Data Protection Officer ou menos glamourizado, Encarregado de Dados, em pouquíssimas horas/aula.
Vejo que na maioria dos casos os fornecedores de produtos ou serviços oferecem soluções prontas para o segmento de pequenas empresas, com a premissa que, servindo para seu vizinho, servirá para você. Mas quando vamos levar nosso carro na oficina ou fazer uma consulta médica inicial, não solicitamos ao mecânico ou médico que nos informem antecipadamente quanto custará a solução completa para o problema – que ainda não sabe nem se existe.
É normal, natural e desejável que o médico, mecânico ou qualquer outro profissional faça uma avaliação inicial que poderá ser complementada com exames mais específicos que poderão resultar em novas análises e até mesmo consultas a outros especialistas, até que se possa emitir um diagnóstico com a maior precisão possível, resultando então em medidas muito mais eficientes.
Na adequação a LGPD, entendemos não ser diferente e já utilizamos há alguns anos principalmente as normas da família ABNT/ISO 27000 que tratam da Gestão da Segurança da Informação, agora com algumas adequações em relação a LGPD. Em resumo, tire uma fotografia do atual momento de sua empresa em relação a SI, compare com algum padrão de nível nacional e veja onde estão os principais pontos de diferença.
Feito isso, faça uma análise em relação a custo, complexidade, interdependência, etc., e estabeleça um planejamento para essas adequações. Ao final, faça um novo diagnóstico, verifique as diferenças e estabeleça um planejamento de implementação. E sim, é do bom e velho PDCA (Planejar – Agir – Checar – Corrigir) que sua empresa precisa para se adequar a uma nova legislação.
:: Veja também:
– Por que você deve começar a se preparar para LGPD?
– Começando a adequação para LGPD
– Empresas não estão preparadas para LGPD