Desde que a Lei Geral de Proteção de Dados (LGPD) entrou no radar dos gestores de Tecnologia e Segurança da Informação, a principal pergunta que fica no ar é: Quem será o responsável pela Lei aqui na empresa, afinal, quem será o DPO (Data Protection Officer)? Imediatamente os olhares se voltam para o CISO, pois é natural que um profissional que cuida de proteção seja o dono da implementação da LGPD na companhia.
Mas o CISO está preparado para assumir esse papel? Muitos acreditam que essa responsabilidade é um peso muito grande em meio a tantas outras tarefas cotidianas da profissão, outros enxergam como uma oportunidade de levar a carreira profissional para níveis mais elevados. O fato é: ninguém faz nada sozinho e certamente montar um comitê ou mesmo um grupo multidisciplinar seja o caminho mais natural das empresas brasileiras entrarem em conformidade com a LGPD.
Durante o Fortinet Cybersecurity Summit, que aconteceu em São Paulo na semana passada, o CISO da Renault-Nissan, Claudio Lezcano, destacou como tem conduzido essa questão na empresa. Segundo ele, não existe um papel formal de DPO, todas as pessoas que estão envolvidas no processo de adequação à LGPD podem assumir essa missão.
“O nosso papel como gestores de Segurança da Informação é liderar o projeto. Internamente, seguimos o modelo europeu que é ter um DPO delegado para cada área, da fábrica ao RH. Definimos como premissa escolher uma pessoa que não é gestor, mas um analista que está na linha de frente de sua área, conhece profundamente os processos e tem uma visão geral. Assim, ele se sente parte do projeto”, explicou Lezcano, que participou de um Talk Show sobre as lideranças e papel do DPO nessa jornada.
Além dos DPOs em cada área estratégica, continuou o CISO, a Renault-Nissan contará com a liderança de um DPO geral, que vai delegar todo trabalho de forma mais holística e transversal. Caso haja algum incidente, como um vazamento de dados, por exemplo, quem responderá será o DPO da área afetada. “Trata-se de um trabalho em conjunto, Segurança, Jurídico e Compliance estão trabalhando intensamente juntos”, acrescenta.
Na Cateno, a gestora de Risco e Cibersecurity, Jaqueline Reis, explicou que esse trabalho também está sendo feito a quatro mãos, com apoio de uma consultoria. “O DPO precisa ter um bom relacionamento com todas as áreas e ser envolvido nos processos a fim de definir regras e cobrar que tudo esteja sendo feito”. Ela tem liderado o projeto internamente e conta com apoio da alta direção, tanto para conscientização quanto para colocar o plano de ação em prática.
Cibelle Pengo, advogada e compliance officer da Laureate já tem esse papel de ser a responsável em adequar leis aos processos de negócio, mas quando se trata de LGPD o trabalho é cada dia mais colaborativo. São vários profissionais trabalhando juntos em um comitê multidisciplinar.
“Nosso desafio é cultural porque o brasileiro não está acostumado com privacidade. Foi mais fácil conscientizar os gestores e agora é partir para um trabalho de conscientização junto à área acadêmica, fazer com que o corpo docente entenda a importância de proteger os dados do aluno. Sem isso, o processo não anda”, pontuou Cibelle.
O lado bom de ser DPO
Alexandre Bonatti, diretor de Engenharia de Sistemas da Fortinet, enxerga como grande oportunidade para o CISO somar o cargo de DPO às atividades da profissão. Para ele, desde o ano passado criou-se um aspecto negativo na comunidade de Segurança da Informação quando o assunto é LGPD. “Na minha visão, deveria ser ao contrário. É uma excelente oportunidade para o CISO ser inovador e elevar a maturidade da profissão”.
No quesito tecnologia, o momento é de fazer um exercício de olhar para dentro de casa, mapear dados e ter visibilidade para enfim proteger o que realmente importa. Bonatti defende que nesse processo, as organizações precisam trabalhar com um conjunto de soluções que automatizem todo o processo, inclusive a infraestrutura. Só assim as empresas serão capazes de identificar ameaças de forma mais efetiva, com uso avançado de inteligência artificial e machine learning.
“Nessa jornada, o primeiro passo é mapear processos para entender a finalidade do dado armazenado. O segundo ponto seria definir prioridades e por último podemos contar com a tecnologia e pessoas”, destacou Lezcano. “Outro ponto importante é priorizar os orçamentos e entender que nesse primeiro momento não vamos investir em todo o projeto, mas criar estratégias para proteger o que é mais importante”, completou Cibelle.
Mesmo sem a definição da Autoridade Nacional de Proteção de Dados (ANPD), todos que participaram do Talk Show estão trabalhando independente de uma futura cartilha ou guia de boas práticas. Para eles, as grandes empresas que já têm uma estrutura robusta de profissionais em diferentes áreas, a adequação está mais tranquila, diferente das pequenas e médias empresas que seriam beneficiadas com uma rápida definição da ANPD.
“O papel do DPO vai mudar nos próximos meses. Certamente será uma evolução para os CISOs. Nossa missão é dar visibilidade e trabalhar em conjunto”, completou Lezcano.
Nota dos Editores:
A Conteúdo Editorial lamenta profundamente o falecimento de Claudio Lezcano, CISO da Renault-Nissan, que nos deixou nesse sábado, 10 de agosto.
Estendemos nossas condolências à família, amigos e colegas de profissão.
Lezcano era responsável pela definição e implementação da estratégia de CyberSegurança, um excelente líder e que estava à frente das iniciativas da Lei de Proteção de Dados na empresa.
Agradecemos o legado que ele nos deixou e que sua liderança possa inspirar cada vez mais a comunidade de Segurança da Informação.
