[AUTORAL] A AUDITORIA INTERNA COMO ASSESSORA DO PROGRAMA DE GOVERNANÇA E PROTEÇÃO DE DADOS

Por Elvis Romão* em 21.05.2019
Auditor de TI e Perito Digital Ad hoc

PROGRAMA DE PROTECAO - LGPD.jpg
Entrará em vigor no dia 15 de agosto de 2020 a Lei Geral Brasileira de Proteção de Dados Pessoais (LGPD). Estamos a aproxi­madamente 14 meses de vivenciarmos os tão especulados reflexos da LGPD e pouco temos visto ou ouvido falar sobre as me­didas concretas que as empresas brasileiras vêm adotando a respeito do tema – isso se elas estiverem realmente sendo tomadas, pois apesar da grande repercussão do tema, o sentimento, de modo geral, é que pouco tem sido feito efetivamente.

Talvez a motivação dessa inércia inicial seja a responsabilidade compartilhada que a LGPD necessita, já que diversas áreas das organi­zações precisarão se envolver no roadmap de adequação. É justamente esse compartilhamento de responsabilidades que faz pairar o questiona­mento sobre quem ou qual área deve se incumbir da condução das ações, dando assim o “pontapé inicial”. Com isso, temos o velho jogo do “empur­ra” que, somado à tendência de muitas empresas em tratar temas como esse no apagar das luzes, acaba minando o já reduzido vacatio legis da Lei [período que decorre entre o dia da publicação de uma lei e a data na qual ela entra em vigor].

Defendo que, nesse contexto, surge nas auditorias internas a oportunidade para uma nova abordagem. Sem abrir mão dos princípios de Auditoria, precisamos ir além de um serviço de assurance (monitoramento e controle) e passarmos a ser conselheiros acessíveis. Temos hoje times de auditoria multidisciplinares com profissionais experientes nas mais diversas áreas e que certamente possuem as condições neces­sárias para fomentar e assessorar um Programa de Governança e Proteção de Dados, forçando o início dos trabalhos pela busca do compliance de dados pessoais.

Promover o tema e assessorar a trilha de adequação à LGPD é estar com o olhar no futuro. Essa deve ser a visão de uma Auditoria que deseja agregar valor aos negócios, pois mesmo sem concentrar todos os esforços na proteção direta de ativos, cria meios para que as perdas com a materialização dos riscos sejam evitadas, protegendo indiretamente o ativo e potencializando os resultados das organizações.

 

Mas será que ainda temos tempo hábil para iniciar a construção de um Programa de Governança e Proteção de Dados?

 

O Gartner, empresa focada na criação de conhecimento de TI para tomada de decisões, com base na adequação das organizações à GDPR (lei europeia que entrou em vigor há um ano), atestou que um programa estável leva de 12 a 18 meses para ser implementado. Entretanto, é preciso des­tacar que, mais importante do que o tempo para construção do Programa é o fato de que ele precisará oferecer valor sustentável – o que pode ser obtido por meio da combinação de pessoas, processos e tecnologias eficazes.

Na prática, enquanto Auditoria Interna, vale encabeçar um encontro inicial com represen­tantes das áreas de Tecnologia da Informação, Jurídico, Compliance, Marketing e Recursos Hu­manos, para que sejam discutidos os principais aspectos da Lei, os desafios a serem enfrentados, realizada a definição de um encarregado pelo tratamento de dados pessoais (na Europa, o Data Protection Officer (DPO), como é conhecido no mercado) e para que se estabeleça um comitê de responsabilidade compartilhada que dará início ao Programa. A Auditoria, que por uma questão de conflitos de interesse não poderá estabelecer definições junto a esse Programa, pode ser parte integrante do comitê como uma área assessora.

Para empresas de grande porte, a tendência é que, diante do valor que os dados pessoais possuem para a nova sociedade, a LGPD ganhe cada vez mais relevância e, a exemplo dos Programas de Compliance que impulsionados pela Lei Anticorrupção estabeleceram-se como novas áreas corporativas, o Programa de Go­vernança e Proteção de Dados seja endereçado também a uma nova área concebida com a finalidade de, dentre outras funções, garantir o tratamento ético dos dados pessoais.

Já para empresas de pequeno e médio porte as questões relacionadas à proteção de dados pessoais poderão ser direcionadas a um DPO ligado a uma das seguintes áreas: Jurídico, Compliance, Risco, Segurança da Informação, dentre outras – isso com o intuito de otimizar o organograma já existente nessas organizações. Entretanto, é importante destacar que o DPO precisará de autonomia e liberdade para indicar e adotar as providências necessárias em um tratamento ético dos dados pessoais.

Somos auditores em uma era onde o instru­mento de poder é a informação e, apesar de va­lorizarmos todo o esforço, método e abordagem que nos trouxe até aqui, precisamos ser cons­cientes de que não podemos nos conformar em entregar mais do mesmo. Temos muito a agregar nas mudanças e nos avanços tecnológicos que transformam os negócios e, consequentemente, nas relações sociais. A proteção de dados pesso­ais é apenas um dos temas de grande relevância no que considero o início da revolução da Era Digital, e ser parte desse movimento é também garantir a sustentabilidade das auditorias.

REVISÃO: Tiago Cruz – Produtor e jornalista, Agência Stóia


*Elvis Romão é mantenedor do site http://www.elvisromao.com.br, onde publica artigos e matérias relacionadas à Auditoria de TI, Compliance Digital, Perícia Informática e Segurança da Informação.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s