Na última década, empresas se habituaram a coletar e armazenar o máximo volume possível de dados pessoais dos consumidores. Com a emergência de leis de proteção de dados como o GDPR europeu e a Lei Geral de Proteção de Dados, que entra em vigor no Brasil em 2020, a lógica de tratamento dos dados sofre uma reviravolta, já que empresas deverão cumprir requisitos rígidos para coletar e processar informações sensíveis dos usuários. Crescerá, portanto, a demanda por profissionais orientados à segurança da informação e proteção de dados pessoais, entre eles os Chief Information Officers (CIOs) e Data Protection Officers (DPOs).
Uma pesquisa da World Federation of Advertisers (WFA) mostra que metade dos anunciantes globais estão ampliando ou planejam ampliar o recrutamento de especialistas de proteção de dados nos próximos anos. A informação consta em um guia de e privacidade e proteção de dados, publicado pela Associação Brasileira dos Anunciantes (ABA), em dezembro, desenvolvido em parceria com a WFA.
Com pouco mais de um ano para se adequarem à lei de proteção de dados brasileira (LGPD), que entra em vigor em 2020, empresas de diferentes portes e segmentos precisam correr para adaptar suas estruturas às exigências legais.
João Rocha, líder de segurança da IBM Brasil, afirma que a lei obrigará empresas a repensarem a coleta e tratamento de dados de consumidores. “Passamos por um momento em que todas as empresas queriam ter suas áreas de inteligência de dados, o que gerou um processo de coleta exacerbada sem que elas necessariamente soubessem de onde os dados vinham e se eles poderiam de fato ser utilizados”, conta o executivo.
A partir do momento em que usuários puderem, por exemplo, solicitar a exclusão de seus dados pelas empresas, como está previsto na lei, companhias terão de lidar com uma complexidade de sistemas ainda maior. Isto porque, segundo João, muitas ferramentas de gestão de dados não foram configurados para simplesmente “esquecer” os dados do usuário.
A chief information officer da Totvs, Mara Maehara, é responsável por todas soluções operacionais e pela infraestrutura de tecnologia da empresa. Ela, que também já foi CIO do Grupo Pão de Açúcar, acredita que as equipes de segurança da informação são cruciais para manter a integridade e confidencialidade dos dados.
A executiva explica que, se um dia os times de negócios e segurança da informação trabalharam de forma independente, cada vez mais compartilham estratégias.
“Há muitas discussões sobre riscos envolvidos de determinada operação, ou projeto, e sobre a busca por alternativas seguras para a entrega dos serviços. Contudo, quem faz a decisão final de assumir, mitigar ou evitar o risco são as áreas de negócio, e não os profissionais de TI”, conta Mara.
Um departamento de gestão de dados pode ser segmentado em várias camadas, com profissionais de diferentes perfis – como advogados, profissionais de TI e até de compliance. Para o vice-presidente da Associação Brasileira de Proteção de Dados (ABPDados), Rony Vainzof, os Data Protection Officers precisam cada vez mais ter conhecimentos multissetoriais. “Este profissional precisa ter conhecimentos sobre leis setoriais e sobre governança corporativa, já que ele vai ser o fiscalizador do cumprimento da LGPD dentro das empresas”, afirma.
Revisão de parceiros A alteração da gestão de dados com a LGPD fará com que empresas busquem conhecer a fundo a maneira como terceiros tratam e processam seus dados proprietários, o que também exigirá mais trabalho por parte dos líderes de segurança. Práticas como a compra de mailing e bases de dados de terceiros, neste contexto, tendem a se tornar cada vez mais fiscalizadas para garantir a segurança da informação.
“Muito provavelmente, as grandes empresas que contratam empresas menores terão contratos relacionados ao cumprimento da lei de dados e tratamento adequado de dados, e só vão autorizar parceiros a tratarem seus dados quando eles tiverem sido avaliados e auditados”, argumenta Dr. Rony, da ABPDados.
Pequenas e médias empresas que armazenam dados de consumidores finais, por sua vez, também terão que profissionalizar seus times e estruturas para controlar a cadeia de uso e tratamento de dados sensíveis.
Terceirização da gestão Quando o assunto é a manutenção de times de gestão de dados, empresas têm a opção de criar estruturas internas robustas ou terceirizar parte desta atividade. Mara Maehara, da Totvs, acredita que parte das operações de monitoramento e controle de segurança podem ser ser terceirizadas de forma segura para empresas especializadas.
João Rocha, da IBM, acrescenta que esta ainda é a opção mais viável para a maioria das empresas. “O custo de aquisição e implementação de soluções ainda é muito alto. Em segundo lugar, existe uma certa escassez de profissionais de segurança no mercado”, explica o líder de segurança.
