Com a vigência da Lei Geral de Proteção de Dados (LGPD), as organizações voltaram sua atenção para esse importante tema. Na realidade, temos diversos cenários presentes: empresas já adequadas ou próximas disso; algumas com o diagnóstico pronto, mas sem qualquer programa de privacidade implementado; e as que ainda estão tentando entender a Lei e seu impacto. Independentemente da situação, há um caminho padrão a ser percorrido, que poderá ser mais longo ou complexo dependendo das características do negócio e do uso efetivo dos dados pessoais.

Mas sob a ótica de gestão de riscos, há cinco camadas que precisam ser tratadas. Avaliando inicialmente as quatro camadas que tipicamente recebem mais atenção, temos na camada “Processo” a preocupação com a definição de controles, formalização de políticas e regras claras e disseminadas. Já na camada “Sistemas” é preciso pensar na segurança cibernética, na segregação de funções e nas travas sistêmicas, por exemplo. Em “Gestão” está a capacidade de monitorar com indicadores e dashboards e saber se está de acordo ou não com o planejado. E, por fim, na camada de “Infraestrutura”, os acessos físicos aos data centers e aos servidores.

Essas quatro esferas têm recebido a atenção das organizações, mas, infelizmente, elas são insuficientes para mitigar os riscos de forma otimizada se a camada “Pessoas” não receber a devida atenção. Vale lembrar que a exposição de um programa se dá pelo seu elo mais fraco, e isso também se aplica ao Programa de Privacidade e Proteção de Dados Pessoais. Por exemplo, controles falhos na proteção do caixa da empresa permitem pagamentos indevidos, favorecimentos e subornos. Controles falhos na proteção de dados da empresa permitem vazamentos e sequestro de informações, entre outros.

Mesmo uma empresa com bons processos e padrões de segurança de dados está sujeita a vazamentos, pois há cargos de confiança, ou seja, posições que naturalmente possuem acesso privilegiado a banco de informações de pessoas físicas, como os responsáveis pela TI, gestão de banco de dados ou de áreas como Relacionamento com cliente ou Folha de pagamento, que podem acessar dados relevantes, muitas vezes sensíveis.

Nos casos de cargos críticos à luz do tratamento de dados, as organizações devem considerar o processo de compliance individual ou de avaliação de perfil ético como opção para mitigar os riscos na camada “Pessoas”. Não se trata de um teste de ética, mas de buscar meios de entender a flexibilidade moral do indivíduo e de como suas crenças e seus valores afetam a interação com os dados pessoais, que se tornou um importante ativo sob responsabilidade da empresa. Por exemplo, o que esse profissional em questão faria se recebesse uma oferta em dinheiro para facilitar um vazamento?

Parece algo hipotético, mas no fim deste último mês de agosto um funcionário da Tesla sofreu a tentativa de suborno para instalar um ransomware na rede da companhia, o que facilitaria o vazamento, em troca de um milhão de dólares. Nesse caso, o colaborador recusou a proposta e alertou a empresa, que prontamente envolveu autoridades. Mas, no caso da sua empresa, há a tranquilidade de que não aconteceria o mesmo? Tendo em vista que a multa pela infração à LGPD pode chegar a 50 milhões de reais por incidente, os montantes envolvidos em casos de fraude e sequestro mudam de patamar no que tange às bases com dados pessoais.

A flexibilidade moral dos profissionais não é homogênea. Há predadores e fraudadores, profissionais antiéticos, que vão buscar brechas, desculpas ou oportunidades para se beneficiar pessoalmente e prejudicar as empresas e, ainda, trazer danos aos titulares dos dados. Felizmente esse perfil danoso não é a maioria, mas em posições chaves é preciso atenção, pois eles podem trazer riscos relevantes às organizações.

Com a LGPD, as organizações precisarão cuidar dos dados pessoais com a mesma atenção que cuidam do seu caixa e protegem suas finanças e demais ativos. E, mais do que uma cultura de privacidade, será preciso fomentar a ética. Neste sentido, o processo de recrutamento e seleção é estratégico para que sejam admitidos profissionais que estejam alinhados com os valores corporativos e possuam capacidade de trabalhar com os dados pessoais respeitando as leis. É preciso ir além da análise de competências e habilidades e, para isso, os processos de compliance individual ou avaliação do perfil ético podem ser grandes aliados.

* Jefferson Kiyohara é professor em ética e compliance da FIA Business School e diretor da prática de compliance na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados, única empresa de consultoria reconhecida como Empresa Pró-Ética por quatro anos consecutivos.