[:pb]Nas últimas duas décadas, o princípio da “Accountability” ou “Prestação de Contas” emergiu como um tema crítico nas leis, políticas e práticas globais de privacidade. De acordo com esse princípio, as organizações devem ser responsáveis pela implementação dos requisitos aplicáveis de privacidade e proteção de dados e devem ser capazes de demonstrar seus recursos de conformidade.
Para entender melhor da situação atual das organizações, a Cisco elaborou a pesquisa “From Privacy to Profit: Achieving Positive Returns on Privacy Investments”, publicada em janeiro de 2020, que explora e quantifica os gastos e benefícios com privacidade para determinar o seu ROI, avaliar o impacto da responsabilidade pela privacidade nas organizações e considerar a importância das certificações de privacidade no processo de seleção de fornecedores. Foram entrevistadas 2.800 empresas de 13 países, incluindo o Brasil.
O estudo revelou que a 70% das organizações está obtendo retornos muito positivos com seus investimentos em privacidade (por exemplo, em eficiência operacional, agilidade e inovação) e mais de 40% estão obtendo benefícios relativos que representam pelo menos o dobro de seus investimentos. O Reino Unido registrou o maior retorno sobre o investimento: US$ 3,50 por US$ 1 investido. México e Brasil US$ 3,30. Espanha e China US$ 3,20. Os EUA US$ 2,60 e a Índia US$ 1,90.
Um fato interessante é que os retornos não variaram significativamente de acordo com o tamanho da empresa. As empresas maiores estão gastando mais e recebendo mais benefícios, entretanto a proporção de benefícios em relação aos gastos é semelhante em grandes, médias e pequenas empresas.
A “Accountability Wheel”
Usando a “Accountability Wheel” criada pelo Centro de Liderança em Políticas de Informações (CIPL), um modelo que ajuda as organizações a criar, gerenciar, avaliar e adaptar seu programa de privacidade, foram encontradas fortes correlações entre a responsabilidade com a privacidade dos dados nas organizações e custos mais baixos de violação, atrasos mais curtos nas vendas e retornos financeiros mais elevados.
Para melhor entender a situação atual das organizações, a Cisco pediu aos entrevistados para avaliar seu progresso em cada um dos sete elementos da “Accountability Wheel” em uma escala de 1 (temos pouco até o momento) a 5 (já temos tudo ou quase tudo implantado). A variação entre empresas foi bastante significativa. A pontuação média geral foi 3,65, mas 25% das empresas entrevistadas pontuaram 3,0 ou menos, 41% marcaram entre 3,0 e 4,0 e 33% pontuaram acima de 4.0. As empresas com as maiores pontuações na “Accountability Wheel” também apresentaram maiores benefícios conseguidos com relação aos investimentos em privacidade.
O valor das certificações em privacidade de dados
A pesquisa revelou que 95% das empresas brasileiras entrevistadas consideram as certificações de privacidade como um importante fator na hora de escolher seus fornecedores. Isso significa que, além da comprovação de conformidade legal, as certificações podem representar um diferencial competitivo importante no mercado.
As organizações estão buscando obter certificações que forneçam validação externa para seus programas e práticas de privacidade. Entre elas estão a ISO 27701 (uma extensão de privacidade da ISO 27001), a EU/Swiss-U.S. Privacy Shield (um mecanismo legal para transferir dados para os EUA), APEC Cross-Border Privacy Rules (que demonstra conformidade com a estrutura de privacidade da APEC e possibilita transferências internacionais de dados) e EU Binding Corporate Rules (que demonstra aderência aos padrões da UE e permite a transferência de dados entre instalações da mesma empresa).
A Responsabilidade e a Prestação de Contas (Accountability) na LGPD
Até agosto de 2020, as empresas que atuam no Brasil e que lidam com informações privadas e dados de clientes precisarão se adaptar à Lei Geral de Proteção de Dados (LGPD, nº 13.709/2018). Entre os princípios definidos pela lei está a “Responsabilidade e a Prestação de Contas (Accountability)”, que impõe que os agentes que lidam com dados de terceiros deverão demonstrar a adoção de medidas eficazes e capazes de comprovar a observância do cumprimento das normas de proteção de dados pessoais, inclusive as de segurança da informação, demonstrando a sua eficácia.
Entre outras exigências da LGPD, as organizações devem designar ou contratar um “encarregado de dados”, também chamado de “Data Protection Officer (DPO)”, que poderá ser pessoa física ou jurídica, cujas atividades envolvem aceitar reclamações, prestar esclarecimentos aos titulares da empresa e às autoridades, adotar providências necessárias, orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. O DPO deverá ter sua identidade e informações de contato divulgadas publicamente, de forma clara, objetiva e de fácil acesso.
Não há dúvida que ter processos maduros e responsáveis para gerenciar, controlar e organizar dados ajuda as organizações a evitar e limitar o impacto de violações de dados.
Além disso, a pesquisa deixa claro que os investimentos em privacidade de dados, além de terem como objetivo atender às exigências legais, trazem benefícios significativos para as organizações, incluindo maior agilidade e inovação, maior vantagem competitiva, maior atratividade para os investidores e maior confiança dos clientes. Investir em proteção e governança de dados sensíveis pode ser um bom negócio.
Com a LGPD os profissionais de TI, de Segurança da Informação e os advogados terão muito trabalho, certamente. No caso do encarregado, sua função só começará quando esses outros profissionais estiverem preparados e fizerem a sua parte!
Sua empresa está preparada para a LGPD? Faça uma análise aqui.
Referência:
From Privacy to Profit: Achieving Positive Returns on Privacy Investments. Cisco Systems, 2020.[:]